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随 着 计算 机 技术 、 现 代 通 信 技 术 和 网 络 技术 的 发 展 ,尤其 是 Internet 的 广泛 应 用 ,计算 
机 网 络 与 人 们 的 工作 和 生活 的 联系 越 来 越 密 切 . 越 来 越 深 入 ,同时 也 使 网 络 系统 的 安全 问题 
日 益 复杂 和 突出 。 计 算 机 的 应 用 使 机 密 和 财富 集中 于 计算 机 ,计算 机 网 络 的 应 用 使 这 些 机 
密 和 财富 随时 受到 联网 用 户 的 攻击 威胁 。 计 算 机 病毒 的 肆虐 .黑客 的 非法 入 侵 , 重 要 资料 被 
破坏 或 丢失 ,都 会 造成 网 络 系统 的 瘫痪 。 目 前 人 们 已 开始 重视 来 自 网 络 内 部 的 安全 威胁 。 

近 几 年 来 ,有 关 网 络 安全 的 书籍 逐渐 增多 ,本 书 与 之 相 比 较 , 其 主要 特色 有 以 下 三 个 
方面 : 

第 一 ,理论 与 案例 相 结合 。 本 书 尽量 避免 单纯 的 原理 性 介绍 和 复杂 的 算法 介绍 等 内 容 ， 
主要 从 构建 一 个 安全 的 网 络 系统 的 实际 需要 出 发 ,结合 应 用 型 本 科 和 高 职高 专 院 校 学 生 的 
特点 ,以 及 广大 社会 培训 机 构 和 个 人 的 实际 需要 ,通过 大 量 的 实用 案例 分 析 以 及 详细 的 实施 
步骤 ,培养 上 述 人 员 分 析 问 题 和 解决 问题 的 能 力 ,使 其 具备 较 强 的 动手 和 应 用 能 力 ,以 达到 
能 够 胜任 网 络 系统 的 安全 设计 与 管理 工作 的 目的 。 

第 二 ,增加 了 颇具 实用 价值 的 内 容 。 例 如 ,VMware Workstation 虚拟 环境 的 搭建 及 应 
用 ,ISA Server 2006 的 应 用 配置 ,Snort 入 侵 检测 系统 的 搭建 及 应 用 , 跨 交 换 机 VLAN 的 设置 
及 应 用 ,申请 Thawte 公司 免费 证 书 实现 邮件 安全 技术 ,Windows Server 2003 安全 配置 及 应 
用 等 。 通 过 学 习 这 些 知识 ,读者 可 以 在 一 全 计算 机 上 搭建 一 个 仿真 的 网 络 环境 ,从 而 进行 本 
书 中 所 有 安全 技术 项 目的 实践 ,并 掌握 很 多 在 其 他 资料 上 无 法 获取 的 技术 方法 。 

第 三 ,技术 资料 前 沿 。 计 算 机 应 用 技术 与 网 络 技术 的 发 展 是 非常 迅速 的 ,为 了 使 本 书 尽 
量 人 靠近 新 知识 .新 技术 的 前 沿 ,我 们 参阅 了 大 量 的 国内 外 最 新 资料 ,力争 反映 网 络 安全 技术 
的 最 新 发 展 。 

本 书 层次 清楚 、 概 念 准确 深入浅出 .通俗 易 慌 。 本 书 的 编写 人 员 是 柳州 职业 技术 学 院 
多 年 工作 在 教学 第 一 线 的 教师 ,不仅 具有 丰富 的 教学 经 验 ,还 长 期 对 外 进行 技术 服务 ,具有 

富 的 社会 实践 经 验 。 书 稿 的 实用 价值 也 在 授课 及 实际 项 目 实施 过 程 中 得 到 了 验证 。 

本 书 第 1、 第 6、 第 8~10 章 ( 除 9.4.9.12 节 外 ) 及 第 7.2、 第 7.4~ 第 7.6 节 由 归 交 红 编 
写 ,第 2、 第 4、 第 5 章 由 刘 宁 编写 ,第 3 章 由 曾 春 编 写 ,第 7.1、 第 7.3、 第 7.7、 第 7.8 节 由 罗 
海 波 编写 ,第 9.4、 第 9. 12 节 由 陆 晓 希 编写 ,全 稿 由 归 奕 红 和 刘 宁 统 编 和 审阅 。 参 加 本 书 编 
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本 章 学 习 目标 

。 了 解 网 络 的 主要 安全 隐患 。 

。 了 解 常见 的 网 络 安全 认识 误区 。 

。 认识 容 灾 的 重要 作用 及 其 与 备份 的 区 别 。 
。 掌握 网 络 安全 设计 原则 。 

。 了 解 国内 外 网 络 安全 法 律 和 法 规 。 


随 着 计算 机 技术 、 现 代 通 信 技 术 和 网 络 技 术 的 发 展 ,尤其 是 Internet 的 广泛 应 用 ,计算 
机 网 络 与 人 们 的 工作 和 生活 的 联系 越 来 越 密切 , 越 来 越 深 入 ,同时 也 使 网 络 系统 的 安全 问题 
日 益 复 杂 和 突出 。 计 算 机 的 应 用 使 机 密 和 财富 集中 于 计算 机 ,计算 机 网 络 的 应 用 使 这 些 机 
密 和 财富 随时 受到 联网 用 户 的 攻击 威胁 。 以 各 种 非法 手段 企图 渗入 网 络 系统 的 “黑客 ”, 随 
着 网 络 的 覆盖 范围 的 扩大 而 迅速 增加 。 

如 何 保障 网 络 系统 正常 \ 有 效 地 工作 ? 如 何 保障 敏感 数据 不 被 非法 获取 ? 在 规划 设计 
一 个 网 络 系统 之 前 ,应 注意 哪些 问题 ? 本章 从 网 络 安全 考虑 和 网 络 安全 设计 原则 方面 进行 
详细 分 析 。 最 后 介绍 国内 外 相关 网 络 安全 的 法 律 和 法 规 。 


1.1 网 络 安全 考虑 


网 络 安全 考虑 是 网 络 安 全 设计 的 第 一 步 , 既 要 全 面 .细致 ,综合 地 考虑 各 方面 安全 因素 ， 
了 解 网 络 面临 的 主要 安全 隐患 ,又 要 充分 考虑 企业 的 安全 现状 、 应 用 需求 ,并 走出 常见 的 网 
络 安全 认识 误区 ,才能 有 效 地 进行 网 络 安全 设计 。 


1.1.1 网 络 的 主要 安全 隐患 


网 络 的 安全 隐患 主要 体现 在 下 列 四 个 方面 。 
1. 病毒 木马 和 恶意 软件 的 入 侵 


病毒 .木马 和 恶意 软件 通过 Internet 进行 的 传播 给 上 网 用 户 带 来 极 大 的 危害 ,使 用 户 的 
系统 被 破坏 ,敏感 数据 被 自 改 或 丢失 ,用 户 账号 和 口令 被 泄露 ,已 经 成 为 危及 全 球 软件 用 户 
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的 一 大 公害 。 
2. 黑客 的 攻击 


Internet 是 一 个 开放 的 网 络 , 黑 客 (Hacker) 会 利用 网 络 系统 自身 存在 的 安全 漏洞 ,通过 
使 用 网 络 命令 和 专用 软件 进入 网 络 中 的 计算 机 系统 ,窃取 或 破坏 机 密 数据 ,使 系统 功能 受 损 
甚至 瘫痪 。 


3. 网 上 传输 数据 的 不 安全 性 


Internet 的 数据 传输 基于 TCP/IP 通信 协议 ,该 协议 缺乏 使 传输 过 程 中 的 信息 不 被 窃 
取 的 安全 措施 ;另外 ,通信 业务 多 数 使 用 UNIX 操作 系统 来 支持 ,UNIX 操作 系统 中 明显 存 
在 的 安全 脆弱 性 问题 会 直接 影响 安全 服务 。 例 如 ,电子 邮件 存在 着 被 拆 看 、. 误 投 和 伪造 的 可 
能 性 。 


4. 非 授权 的 访问 


随 着 企业 网 络 规模 的 不 断 扩大 ,企业 存储 系统 上 的 敏感 数据 越 来 越 多 , 非 授 权 的 访问 往 
往 会 给 企业 造成 难以 弥补 和 无 法 估量 的 损失 。 

针对 上 述 主要 安全 隐患 ,应 采取 如 下 应 对 措施 : 安装 专业 的 网 络 版 病毒 防护 系统 ;及 时 
安装 系统 安全 补丁 , 堵 住 系统 本 身 的 安全 漏洞 ;对 系统 内 存储 的 敏感 数据 进行 加 密 保 护 ;对 
于 网 上 传输 的 数据 采用 数字 签名 技术 ;加 强 企业 内 部 网 络 的 安全 管理 ,实行 “最 小 权限 ” 原 
则 ;有 条 件 的 用 户 还 可 以 安装 入 侵 检 测 (IDS) 和 入 侵 防 御 (IPS) 系 统 ;可 以 配置 网 络 安全 隔 
离 系 统 , 对 内 、 外 网 络 进行 安全 隔离 。 


1.1.2 常见 的 网 络 安全 认识 误区 


随 着 互联 网 技术 和 应 用 的 快速 发 展 ,网 络 安全 威胁 的 来 源 越 来 越 复杂 ,手段 层出不穷 ， 
网 络 安全 产品 的 种 类 也 越 来 越 多 ,导致 人 们 在 认识 上 存在 一 些 常 见 的 误区 ,即使 是 网 络 管理 
员 也 无 法 全 面 认识 和 选择 这 些 产品 及 对 应 的 安全 技术 ,给 网 络 安全 策略 的 制定 带 来 漏洞 。 
目前 网 络 中 常见 的 安全 认识 误区 有 如 下 几 个 方面 。 


1. 安装 防火 墙 即 可 保障 系统 的 安全 


防火 墙 是 网 络 安 全 的 重要 机 制 ,其 主要 用 途 是 根据 所 设 定 的 规则 ,过 滤 掉 存在 安全 风险 
的 通信 数据 包 , 如 黑客 攻击 类 的 端口 扫描 数据 包 、Ping 测试 包 和 拒绝 服务 类 数据 包 等 。 但 
是 ,入 侵 者 可 以 绕 过 防火 墙 进行 攻击 。 防 火 墙 不 能 防止 来 自 网 络 内 部 的 袭击 ,实际 上 将 近 
65% 的 攻击 都 来 自 网 络 内 部 。 防 火 墙 不 能 过 滤 掉 计算 机 病毒 .木马 及 恶意 软件 等 的 入 侵 和 
感染 。 所 以 ,防火 墙 只 是 整个 企业 安全 防御 系统 中 的 一 个 重要 环境 ,并 不 是 全 部 。 

在 2001 年 9 月 第 一 次 出 现 的 Nimda 病毒 .不 但 通过 电子 邮件 进行 传播 ,而 且 通过 在 服 
务 器 上 共享 的 文件 进行 传播 , 它 还 利用 了 包含 有 Java 脚本 代码 的 Web 页 。 它 传播 和 造成 
损失 的 速度 比 以 往 的 任何 病毒 都 要 快 。Nimda 病毒 比 其 他 病毒 都 更 能 说 明 多 层 安 全 措施 
的 必要 性 ,仅仅 安装 防火 墙 是 远 远 不 够 的 。 
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2. 安装 杀毒 软件 即 可 预防 所 有 病毒 的 入 食 


任何 一 款 杀 毒 软件 都 不 能 保证 能 完全 查 杀 所 有 已 知 和 未 知 的 病毒 ,何况 杀毒 软件 查 杀 
某 一 病毒 的 能 力 总 是 滞后 于 该 病毒 的 出 现 ,所 以 当 病毒 库 代 码 还 没有 来 得 及 更 新 之 前 ,这 些 
新 病毒 仍 可 能 成 功 入侵 系统 。 


3. 不 上 互联 网 就 不 会 感染 病毒 


病毒 主要 是 通过 互联 网 进行 传播 ,但 并 不 意味 着 不 上 互联 网 就 不 会 感染 病毒 ,病毒 还 可 
以 通过 U 盘 、 移 动 硬 盘 和 光盘 等 存储 媒介 传播 。 局 域 网 中 只 要 有 一 台 计算 机 感染 了 病毒 ， 
则 整个 局 域 网 都 很 可 能 受到 感染 。 


4. 文件 属性 设置 为 只 读 就 可 以 拒绝 病毒 


病毒 或 黑客 程序 可 以 修改 文件 属性 ,因此 ,设置 只 读 并 不 能 有 效 防毒 。 为 了 防止 病毒 感 
染 , 可 以 采取 对 文件 夹 或 文件 进行 数据 加 密 的 方法 ,这 样 病毒 就 无 法 感染 其 中 的 文件 了 。 


5. 在 每 台 计 算 机 中 安装 单机 版 杀毒 软件 与 安装 网 络 版 杀毒 软件 等 效 


有 些 企 业 为 了 节省 成 本 ,购买 单机 版 杀毒 软件 ,他 们 认为 在 每 台 计 算 机 上 安装 这 些 单 机 
版 杀毒 软件 与 安装 网 络 版 杀毒 软件 等 效 。 这 种 认识 是 非常 错误 的 。 网 络 版 杀毒 系统 不 等 于 
在 每 台 机 器 上 安装 杀毒 软件 , 它 的 核心 是 集中 的 网 络 防毒 系统 管理 。 网 络 版 杀毒 软件 可 以 
在 一 台 服 务 器 上 通过 安全 中 心 控 制 整个 网 络 的 客户 端 杀 毒 软 件 进行 同步 病毒 查 杀 、 软 件 系 
统 升 级 ,同时 架空 整个 网 络 的 病毒 ,使 病毒 无 处 藏身 。 而 单机 版 杀毒 软件 只 能 孤军 作战 ,很 
难 实现 整个 网 络 同步 进行 病毒 查 杀 和 软件 升级 、 更 新 。 

此 外 ,网 络 版 杀毒 软件 可 以 在 一 台 服 务 器 上 进行 统一 的 病毒 防护 策略 部 署 。 这 对 于 整 
个 网 络 的 管理 非常 方便 ,而 单机 版 杀毒 软件 是 不 可 能 做 到 的 。 如 果 网 络 规 模 比 较 大 ,要 为 每 
台 计 算 机 单独 进行 防护 配置 几乎 是 不 可 能 的 。 


6. 安装 多 个 杀毒 和 防火 墙 软件 可 以 使 系统 更 安全 


这 种 观点 并 不 是 完全 错误 ,但 很 不 现实 。 不 同 的 杀毒 软件 和 防火 墙 软件 的 防毒 和 防 攻 
击 能 力 不 一 样 ,实验 证 明 ,使 用 某 个 杀毒 软件 对 系统 进行 全 面 查 杀 后 ,再 用 另外 的 杀毒 软件 
还 能 查 出 一 些 病毒 ,木马 和 恶意 软件 。 但 是 在 企业 网 络 中 ,如 果 安 装 多 个 杀毒 和 防火 墙 软 
件 ,不 仅 增加 了 大 量 的 成 本 ,还 会 严重 影响 网 络 性 能 ,何况 大 多 数 杀毒 和 防火 墙 软件 的 绝 大 
部 分 功能 是 相同 的 ,如 此 做 法 所 获得 的 好 处 不 大 。 此 外 ,不 同 品牌 的 杀毒 软件 和 防火 墙 软件 
还 可 能 存在 冲突 ,甚至 根本 不 能 安装 或 运行 。 


7. 网 络 安全 威胁 主要 来 源 于 外 部 网 络 


《信息 周刊 研究 部 2008 年 的 调查 显示 ,60% 以 上 的 网 络 威胁 和 攻击 来 自 网 络 内 部 ,如 
未 经 授权 的 雇员 对 文件 或 数据 的 访问 、 带 有 公司 数据 的 可 移动 设备 遗失 或 失窃 等 。 但 是 这 
一 点 却 并 没有 引起 企业 足够 的 重视 ,许多 网 络 管理 员 和 企业 领导 还 一 直 认 为 ,只 要 做 好 对 外 
部 网 络 攻击 的 防范 就 可 以 保障 网 络 安全 了 。 这 种 观点 对 于 目前 的 网 络 安全 形势 来 说 是 非常 
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危险 的 。 
8. 只 要 及 时 做 数据 备份 即 可 保证 数据 安全 


数据 备份 的 任务 和 意义 在 于 , 当 灾难 (如 自然 灾害 ,病毒 侵入 .人 为 破坏 等 ) 发 生 后 ,通过 
备份 的 数据 能 完整 ,快速 ,简捷 、 可 靠 地 恢复 原 有 系统 。 但 是 ,认为 只 要 及 时 做 好 数据 备份 就 
可 以 高 枕 无 忧 是 错误 的 。 试 想 一 下 ,如果 黑 客 取得 了 合法 用 户 账户 ,不 断 在 网 络 中 进行 破坏 
行动 ,这 样 的 恶性 数据 备份 有 什么 用 呢 ? 难道 只 能 每 天 把 系统 ,数据 恢复 到 原始 状态 吗 ? 数 
据 备份 只 是 企业 网 络 安 全 的 最 后 一 道 防线 ,在 它 前 面 必须 部 署 一 系列 的 防护 措施 ,才能 保证 
企业 网 络 的 安全 。 


9. 投资 太 大 ,等 需要 时 再 建设 


建设 一 套 完备 的 安全 机 制 来 保护 企业 网 络 系统 ,其 投资 是 比较 大 的 ,因此 ,许多 企业 ( 尤 
其 是 小 型 企业 ) 不 愿意 一 次 性 作 这 样 的 投资 ,而 是 选择 最 简单 的 .成 本 最 低 的 防护 方法 (如 安 
装 杀毒 软件 ) ,以 后 则 “头痛 医 头 , 脚 痛 医 脚 ”, 根 据 * 需 要 ”建设 相应 的 安全 机 制 。 这 样 做 的 后 
果 往 往 是 企业 内 部 许多 重要 数据 丢失 ,机密 文件 泄露 ,网 络 系统 不 能 正常 运作 ,严重 的 可 以 
导致 企业 破产 ,其 经 济 损失 远 远 大 于 建设 一 套 完备 的 安全 防护 机 制 。 


1.1.3 备份 与 容 灾 


尽管 人 们 十 分 小 心 ,但 是 自然 灾害 无 法 躲避 。1993 年 ,美国 世贸 中 心 大 楼 发 生 爆 炸 ,一 
年 后 ,能 回 到 世贸 大 楼 工作 的 公司 由 350 家 变 成 了 150 家 ,有 200 家 公司 由 于 无 法 取 回 原 有 
重要 信息 而 倒闭 。 据 IDC(Internet Data Center ,互联 网 数据 中 心 ) 的 统计 数字 表明 ,美国 在 
2000 年 以 前 的 10 年 间 发 生 过 灾难 的 公司 中 ,有 55% 当 时 倒闭 , 剩 下 的 45% 中 ,也 有 29% 因 
为 数据 丢失 在 两 年 之 内 倒闭 ,生存 下 来 的 仅 占 16%。GartnerGroup 的 数据 也 表明 ,在 经 历 
大 型 灾难 而 导致 系统 停 运 的 公司 中 ,有 2/5 再 也 没有 恢复 运营 , 剩 下 的 公司 中 也 有 1/3 在 两 
年 内 破产 。 

根据 有 关机 构 统 计 , 对 关键 业务 运行 要 求 最 高 的 银行 业 , 每 次 计算 机 系统 宕 机 导致 的 损 
失 平 均 为 1000 万 美元 ,同时 还 会 导致 对 公司 声誉 无 法 估量 的 无 形 资产 损失 ,而 采取 灾难 恢 
复方 案 总 共 花 费 平 均 只 有 100 万 美元 。 

因此 ,企业 需要 一 套 完整 的 数据 备份 及 容 灾 解决 方案 ,以 确保 业务 数据 能 有 效 安全 地 备 
份 和 恢复 ,减少 企业 的 损失 。 


1. 备份 


备份 指 用 户 为 应 用 系统 产生 的 重要 数据 制作 一 份 或 者 多 份 副本 ,以 增强 数据 的 安全 性 。 
备份 不 是 简单 的 复制 ,备份 文件 远 远 小 于 原文 件 , 它 用 一 种 安全 的 形式 保存 ,不 容易 被 破坏 ， 
且 能 以 恢复 的 形式 还 原 所 有 数据 。 

在 备份 的 几 大 技术 中 ,硬盘 存储 、 光 存储 、 磁 带 存 储 都 已 经 实现 大 容量 ,都 可 以 作为 
备份 方案 的 选择 。 然 而 ,考虑 到 存储 介质 单位 成 本 的 问题 ,只 有 磁带 技术 才 真正 适合 数 
据 备份 。 
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2. 容 灾 


容 灾 是 一 项 系统 工程 ,而 不 仅仅 是 技术 。 容 灾 系 统 是 指 在 相隔 较 远 的 异地 建立 两 套 或 
多 套 功 能 相同 的 IT 系统 ,相互 之 间 可 以 进行 健康 状态 监视 和 功能 切换 , 当 一 处 系统 因 意 外 
(如 火灾 、 地 震 等 ) 停 止 工作 时 ,整个 应 用 系统 可 以 切换 到 另 一 处 ,使 得 该 系统 功能 可 以 保持 
不 间断 的 工作 。 

1) 容 灾 的 分 类 

按 容 灾 对 系统 的 保护 程度 可 以 划分 为 数据 容 灾 和 应 用 容 灾 。 

(1) 数据 容 灾 。 数 据 容 灾 指 建立 一 个 异地 的 数据 系统 ,该 系统 是 本 地 关键 应 用 数据 的 
一 个 实时 复制 。 采 用 的 主要 技术 是 数据 备份 和 数据 复制 技术 ,其 技术 实现 方式 可 以 分 为 同 
步 传输 方式 和 异步 传输 方式 。 

(2) 应 用 容 灾 。 应 用 容 灾 指 在 数据 容 灾 的 基础 上 ,在 异地 建立 一 套 完整 的 与 本 地 生产 
系统 相当 的 备份 应 用 系统 (可 以 是 互 为 备份 ), 当 灾难 发 生 时 ,远程 系统 迅速 接管 业务 运行 。 
建立 这 样 的 系统 比较 复杂 ,不仅 需 要 一 份 可 用 的 数据 复制 ,还 要 有 包括 网 络 主机、 应 用 、 甚 
至 IP 等 资源 ,以 及 各 资源 之 间 的 良好 协调 。 主 要 的 技术 包括 负载 均衡 .集群 技术 。 

对 于 业务 应 用 繁多 、 并 且 系 统 需 要 保持 7X24 小 时 连续 运行 的 企业 来 说 ,显然 需要 高 级 
别 的 应 用 容 灾 系统 来 满足 他 们 的 需求 。 

数据 容 灾 是 抗御 灾难 的 保障 ,而 应 用 容 灾 则 是 容 灾 系 统 建 设 的 目标 。 

2) 容 灾 的 关键 技术 

建立 容 灾 系 统 涉及 多 种 技术 ,如 : SAN 或 NAS 技术 远程 镜像 技术 .基于 IP 的 SAN 
的 互联 技术 ,快照 技术 等 。 下 面 重点 介绍 远程 镜像 技术 ,快照 技术 和 互联 技术 。 

(1) 远程 镜像 技术 。 远 程 镜像 又 叫 远 程 复制 ,是 容 灾 备份 的 核心 技术 ,同时 也 是 保持 远 
程 数 据 同步 和 实现 灾难 恢复 的 基础 。 远 程 镜像 按 请 求 镜 像 的 主机 是 否 需 要 远程 镜像 站 点 的 
确认 信息 ,又 可 分 为 同步 远程 镜像 和 异步 远程 镜像 。 

同步 远程 镜像 将 本 地 数据 以 完全 同步 的 方式 复制 到 异地 ,每 一 个 本 地 的 I/O 事务 均 需 
等 待 远 程 复制 的 完成 确认 信息 才能 释放 ,对 本 地 系统 性 能 影响 较 大 。 异 步 远 程 镜像 的 数据 
复制 是 以 后 台 同 步 的 方式 进行 的 ,这 使 本 地 系统 性 能 受到 的 影响 很 小 。 

(2) 快照 技术 。 远 程 镜像 技术 往往 同 快照 技术 结合 起 来 实现 远程 备份 , 即 通过 镜像 把 
数据 备份 到 远程 存储 系统 中 ,再 用 快照 技术 把 远程 存储 系统 中 的 信息 备份 到 远程 的 磁带 库 、 
光盘 库 中 。 

快照 是 通过 软件 对 要 备份 的 磁盘 子 系统 的 数据 快速 扫描 ,建立 一 个 要 备份 数据 的 快照 
逻辑 单元 号 LUN 和 快照 缓存 。 在 快速 扫描 时 ,把 备份 过 程 中 即将 要 修改 的 数据 块 同时 快 
速 复制 到 快照 缓存 中 。 快 照 LUN 是 一 组 指针 , 它 指 向 快照 缓存 和 磁盘 子 系统 中 不 变 的 数 
据 块 (在 备份 过 程 中 ) 。 在 正常 业务 进行 的 同时 ,利用 快照 LUN 实现 对 原 数 据 的 一 个 完全 
的 备份 ,可 使 用 户 在 正常 业务 不 受 影响 的 情况 下 (主要 指 容 灾 备 份 系统 ) ,实时 提取 当前 在 线 
业务 数据 。 

(3) 互联 技术 。 目前, 出现 了 多 种 基于 IP 的 SAN(Storage Area Network, 存 储 域 网 络 ) 的 
远程 数据 容 灾 备 份 技术 。 它 们 是 利用 基于 IP 的 SAN 的 互联 协议 ,将 主 数据 中 心 SAN 中 的 信 
息 通 过 现 有 的 TCP/IP 网 络 , 远 程 复制 到 备 援 中 心 SAN 中 。 当 备 援 中 心 存储 的 数据 量 过 大 
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时 ,可 利用 快照 技术 将 其 备份 到 磁带 库 或 光盘 库 中 。 这 种 基于 IP 的 SAN 的 远程 容 灾 备 份 ,可 
以 跨越 LAN (Local Area Network, 局 域 网 )、MAN (Metropolitan Area Network, 城 域 网 ) 和 
WAN (Wide Area Network, 广 域 网 ) .成 本 低 、 可 扩展 性 好 ,具有 广阔 的 发 展 前 景 。 

3) 衡量 容 灾 备份 的 两 个 技术 指标 

(1) RPO(Recovery Point Objective, 数 据 恢复 点 目标 ) : 指 业 务 系统 所 能 容忍 的 数据 丢 
失 量 。 

(2) RTO(CRecovery Time Objective, 恢 复 时 间 目 标 ) : 指 所 能 容忍 的 业务 停止 服务 的 最 
长 时 间 ,也 就 是 从 灾难 发 生 到 业务 系统 恢复 服务 功能 所 需要 的 最 短 时 间 周 期 。 

RPO 针对 的 是 数据 丢失 ,而 RTO 针对 的 是 服务 丢失 。RTO 和 RPO 必须 在 进行 风险 
分 析 和 业务 影响 分 析 后 根据 不 同 的 业务 需求 确定 ,对 于 不 同 企业 的 同一 种 业务 ,RTO 和 
RPO 的 需求 也 会 有 所 不 同 。 


3. 备份 与 容 灾 的 联系 和 区 别 


备份 与 容 灾 是 存储 领域 两 个 极其 重要 的 部 分 ,二 者 有 着 紧密 的 联系 。 备 份 与 容 灾 都 有 
数据 保护 作用 ,备份 是 存储 领域 的 基础 ,在 一 个 完整 的 容 灾 方案 中 必然 包括 备份 的 部 分 。 同 
时 ,备份 还 是 容 灾 方案 的 有 效 补充 ,因为 容 灾 方案 中 的 数据 始终 在 线 ,因此 存储 有 完全 被 破 
坏 的 可 能 ,而 备份 提供 了 额外 的 一 条 防线 ,即使 在 线 数据 丢失 也 可 以 从 备份 数据 中 恢复 。 

但 是 ,备份 与 容 灾 也 有 本 质 的 区 别 , 如 表 1-1 所 示 。 


表 1-1 备份 与 容 灾 的 区 别 


区 别 备份 容 灾 
容 灾 指 在 远 立 两 套 或 多 套 
备份 指 用 户 为 应 用 系统 产生 的 重要 数据 | 窜 灾 措 在 相隔 较 远 的 异地 建立 两 守 或 多 套 
从 定义 上 区 别 | 制作 一 份 或 者 多 份 副本 ,以 增强 数据 的 | 下 能 相同 的 17 系统 , 当 一 处 系统 因 意 外 个 
| 止 工作 时 ,整个 应 用 系统 可 以 切换 到 另 一 
: 处 来 保持 正常 工作 
从 关注 的 对 象 上 | 备份 关注 数据 的 安全 ,可 以 把 备份 称 作 | 容 灾 关注 业务 应 用 的 安全 ,可 以 把 容 灾 称 
区 别 是 “数据 保护 ” 作 “ 业 务 应 用 保护 ” 
从 表现 形式 上 | 通过 备份 软件 并 使 用 世 带 (或 屏 徐 . 光 蕉 | a 
hha 通过 高 可 用 方案 将 两 个 站 点 连接 起 来 
从 性 能 、 成 本 上 | 备份 大 多 采用 磁带 方式 ,性 能 低 , 成 本 | 容 灾 采用 磁 格 方式 进行 数据 保护 ,数据 随 
区 别 也 低 时 在 线 ,性 能 高 ,成 本 也 高 


1.2 网络 安 全 设计 原则 


1. 综合 性 ,整体 性 原则 


该 原则 要 求 进行 网 络 安全 策略 设计 时 要 全 面 考虑 各 种 安全 因素 ,确保 在 网 络 发 生 被 攻 
击 、 破 坏事 件 后 ,能 尽 可 能 快速 地 恢复 网 络 信息 中 心 的 服务 ,减少 损失 。 因 此 ,网 络 安全 系统 
应 该 包括 安全 防护 机 制 , 安 全 检测 机 制 和 安全 恢复 机 制 。 安 全 防护 机 制 是 根据 具体 系统 存 
在 的 各 种 安全 威胁 采取 的 相应 的 防护 措施 ,避免 非法 攻击 ;安全 检测 机 制 是 检测 系统 的 运行 
情况 ,及 时 发 现 并 制止 对 系统 进行 的 各 种 攻击 ;安全 恢复 机 制 是 在 安全 防护 机 制 失 效 的 情况 
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下 ,能 尽量 完整 ,快速 地 恢复 系统 ,减少 攻击 的 破坏 程度 。 
2. 需求 ,风险 .代价 平衡 的 原则 


任何 网 络 系统 都 不 可 能 做 到 绝对 的 安全 ,因为 新 的 威胁 会 不 断 地 涌现 。 安 全 是 一 个 动 
态 的 过 程 , 所 以 安全 体系 设计 要 正确 处 理 需求 ,风险 与 代价 的 关系 。 网 络 系统 是 否 达到 安全 
目标 ,没有 统一 的 标准 ,只 能 取决 于 用 户 的 需求 及 其 应 用 环境 ,具体 取决 于 系统 的 规模 和 范 
围 .系统 的 性 质 和 信息 的 重要 程度 。 只 要 将 安全 风险 降低 到 一 个 可 接受 的 程度 ,使 用 户 和 决 
策 者 可 以 接受 剩余 的 风险 即 可 。 


3. 一 致 性 原则 


安全 防护 系统 是 一 个 庞大 的 系统 工程 ,其 安全 体系 的 设计 必须 遵循 一 系列 的 标准 ,只 有 
这 样 才能 确保 各 个 分 系统 的 一 致 性 ,使 整个 系统 能 实现 安全 通信 信息 共享 。 


4. 等 级 性 原则 


等 级 性 原则 是 指 安全 层次 和 安全 级 别 。 良 好 的 信息 安全 系统 必然 是 分 为 不 同等 级 的 ， 
包括 对 信息 保密 程度 分 级 ,对 用 户 操作 权限 分 级 ,对 网 络 安全 程度 分 级 (安全 子 网 和 安全 区 
域 ) ,对 系统 实现 结构 的 分 级 (应 用 层 、 网 络 层 .数据 链 路 层 等 ), 从 而 针对 不 同 级 别 的 安全 对 
象 提供 全 面 .可 选 的 安全 算法 和 安全 体制 ,以 满足 网 络 中 不 同 层次 的 各 种 实际 需求 。 


5. 易 操作 性 原则 


安全 措施 的 执行 是 靠 人 来 完成 的 ,如 果 措 施 过 于 复杂 ,对 人 的 要 求 太 高 ,造成 执行 的 困 
难 , 其 本 身 就 降低 了 安全 性 。 此 外 ,安全 措施 的 采用 不 能 影响 系统 的 正常 运行 。 

6. 分 步 实施 原则 

由 于 政策 规定 、 服 务 需求 的 不 明朗 ,以 及 环境 ,条件 .时 间 的 变化 ,攻击 手段 的 进步 ,安全 
防护 不 可 能 一 步 到 位 ,可 在 一 个 比较 全 面 的 安全 规划 下 ,根据 网 络 的 实际 需要 , 先 建立 基本 
的 安全 体系 ,保证 基本 的 、 必 需 的 安全 性 。 随 着 网 络 规模 的 扩大 、 应 用 的 增加 和 网 络 复杂 程 


度 的 变化 ,网 络 系统 的 漏洞 也 会 逐步 出 现 , 此 时 应 及 时 调整 网 络 安全 设计 方案 ,增强 安全 防 
护 力 度 ,保障 整个 网 络 系统 的 安全 。 


7. 技术 与 管理 相 结 合 原则 


安全 攻击 的 手段 在 不 断 更 新 .来源 也 越 来 越 复 杂 , 不 仅 有 来 自 外 部 网 络 的 攻击 ,还 有 大 
量 来 自 内 部 网 络 的 攻击 ,涉及 人 、 技 术 、 操 作 和 管理 等 多 方面 因素 。 单 靠 技术 或 单 靠 管理 都 
不 可 能 实现 安全 防护 ,必须 将 各 种 安全 技术 .人 员 培 训 、 管 理 机 制 ,法律 与 法 规 建设 等 结合 起 
来 ,才能 较 好 地 保障 企业 网 络 系统 的 安全 。 


1.3 网 络 安全 的 法 律 和 法 规 


计算 机 犯罪 是 一 种 高 技术 犯罪 活动 ,也 是 未 来 社会 的 主要 犯罪 形式 之 一 ,因此 , 面 对 日 
益 严重 的 计算 机 犯罪 ,必须 建立 相关 的 法 律 、 法 规 进 行 约束 : 通过 建立 国际 ` 国 内 和 地 方 计 
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算 机 信息 安全 法 来 减少 计算 机 犯罪 案 ( 如 盗窃 网 络 设施 ,非法 侵入 网 络 来 破坏 和 盗窃 信息 资 
源 ,故意 制造 病毒 破坏 网 络 系统 等 ) 的 发 生 。 由 于 法 律 具有 强制 性 .规范 性 .公正 性 ,威慑 性 
和 权威 性 ,因此 它 在 很 多 方面 具有 不 可 替代 的 作用 。 制 定 并 实施 计算 机 信息 安全 法 律 ,加 强 
对 计算 机 网 络 安 全 的 宏观 控制 ,对 危害 计算 机 网 络 安 全 的 行为 进行 制裁 ,为 网 络 信 息 系统 提 
供 一 个 良好 的 社会 环境 是 十 分 必要 的 。 


1.3.1 国外 的 相关 法 律 和 法 规 


在 国际 上 ,由 于 发 达 国家 的 计算 机 应 用 已 非常 普及 ,因此 ,其 计算 机 安全 立法 工作 也 早 
已 进行 。1987 年 出 现 了 世界 上 第 1 部 计算 机 犯罪 法 一 一 佛罗里达 计算 机 犯罪 法 , 它 首次 将 
计算 机 犯罪 定 为 侵犯 知识 产权 罪 。 随 后 ,各 发 达 国 家 针对 计算 机 犯罪 的 刑事 责任 的 追究 , 纷 
纷 修改 刑法 ,增加 计算 机 犯罪 的 惩治 条 款 ,或 单独 立法 ,对 计算 机 犯罪 的 定罪 .量刑 所 产生 的 
威慑 力 , 可 使 有 犯罪 企图 的 人 产生 旦 惧 心 理 , 从 而 减少 犯罪 的 可 能 ,保持 社会 的 安定 。 

这 些 法 规 认定 的 违法 行为 的 内 容 大 体 相似 ,主要 有 以 下 几 个 方面 : 

(1) 窃取 国家 、 科 学 、 公 众 、 私 人 机 密 。 

(2) 有 诈骗 企图 ,非法 更 改 、 伪 造 、 删 除 、 破 坏 数据 资料 或 向 资料 中 摊 假 。 

(3) 擅自 故意 非法 操作 计算 机 、 网 络 ,造成 合法 用 户 无 法 用 机 。 

(4) 破坏 计算 机 系统 及 系统 硬件 设备 .数据 。 

法 规 的 具体 内 容 可 以 参考 以 下 美国 联邦 计算 机 犯罪 法 和 英国 计算 机 滥用 法 的 有 关 规 定 。 


1. 美国 联邦 计算 机 犯罪 法 (计算机 诈骗 和 滥用 法 》) 


该 法 律 规定 ,具有 以 下 犯罪 行为 的 ,分 别处 以 罚款 或 者 处 十 年 以 下 监禁 和 五 年 以 下 监禁 。 

(1) 未 经 授权 或 越权 访问 计算 机 ,并 以 此 手段 获取 美国 政府 为 保护 国防 或 外 交 关系 的 
利益 而 防止 非法 泄露 的 信息 ,或 者 获取 1954 年 原子 能 法 第 10 章 规定 的 数据 ,而 且 有 理由 认 
为 他 们 获取 这 类 信息 并 加 以 利用 ,会 损害 美国 利益 或 有 利于 他 国 利益 。 

(2) 冯 和 人 计算 机 系统 获取 金融 机 构 、 信 用 卡 发 行 机 构 或 包括 顾客 信用 报告 文件 中 的 有 
关 财 务 记录 信息 。 正 当 信 用 报告 法 (Fair Credit Reporting Act) 对 此 作出 了 规定 。 

(3) 未 经 允许 或 越权 冯 和 人 由 政府 控制 或 影响 政府 应 用 的 计算 机 系统 。 

(4) 浆 人 与 联邦 利益 有 关 的 计算 机 系统 ,并 企图 诈骗 获取 任何 除 应 用 此 计算 机 以 外 的 
有 价值 的 东西 。 

(5) 未 经 授权 ,故意 访问 涉及 联邦 利益 的 计算 机 ,并 有 一 个 以 上 证 据说 明 其 有 更 改 、 损 
害 、 毁 灭 这 种 计算 机 中 的 信息 的 行为 ,或 者 阻碍 对 这 种 计算 机 或 信息 的 合法 使 用 ,以 至 于 在 
任何 一 年 内 造成 损失 总 计 1000 美元 。 还 包括 自 改 或 损害 医疗 检查 、 诊 断 、 治 疗 ,保健 数据 。 

(6) 故意 和 有 预谋 地 对 美国 州 际 、 外 贸 或 者 政府 使 用 的 计算 机 的 口令 进行 诈骗 。 


2. 英国 计算 机 滥用 法 


该 法 律 规定 计算 机 滥用 罪行 如 下 : 
(1) 未 经 授权 存 取 计算 机 资料 ,判处 六 个 月 以 下 监禁 或 者 处 以 罚款 标准 第 五 级 以 下 的 


(2) 企图 进行 进一步 犯罪 活动 的 未 经 授权 的 存 取 。 

一 个 人 在 第 一 条 的 前 提 下 有 企图 并 实施 犯罪 行为 的 ,就 构成 了 犯罪 ,具体 包括 : 实施 本 
条 规定 的 罪行 ;本 人 或 促使 他 人 进行 犯罪 ,并 且 企图 实施 的 行为 属于 本 条 规定 的 进一步 的 
犯罪 。 

对 进一步 的 犯罪 ,处 以 六 个 月 以 下 监禁 或 者 处 以 法 定 最 高 标准 以 下 罚款 数额 ,或 者 两 项 
并 处 。 

未 经 授权 更 改 计算 机 资料 包括 下 列 行为 。 

@ 未 经 授权 变更 任何 计算 机 的 内 容 。 

@ 犯罪 行为 发 生 时 有 一 定 的 意图 和 意识 : 损害 计算 机 的 运行 ;妨碍 .阻止 正常 存 取 计 
算 机 中 的 程序 或 数据 ;损害 程序 的 运行 或 数据 的 可 靠 性 。 

以 上 行为 可 处 以 六 个 月 以 下 监禁 或 处 以 法 定 最 高 标准 以 下 的 罚款 数额 ,或 两 项 并 处 。 
经 诉讼 程序 的 判决 ,可 判 五 年 以 下 监禁 或 者 罚款 ,或 者 两 项 并 处 。 

不 同形 式 的 法 律 ,如 《计算 机 安全 法 》《 信 息 自由 法 》《 伪 造访 问 设备 和 计算 机 欺骗 与 滥 
用 法 》《 数 据 保护 法 》《 计 算 机 犯罪 法 》《 计 算 机 软件 保护 法 》《 电 子 资金 转账 法 一 一 保密 
法 》《 个 人 隐私 法 ) 等 在 一 些 国家 均 已 出 台 , 一 些 国 家 还 将 计算 机 犯罪 与 刑法 、 民 法 联系 在 一 
起 ,修改 有 关 条 款 并 颁布 实施 , 收 到 了 较 好 的 效果 。 


1.3.2 我 国 的 相关 法 律 和 法 规 


我 国 国务 院 、 公 安 部 等 有 关 单 位 从 1994 年 起 制定 并 发 布 了 《中 华人 民 共 和 国 计 算 机 信 
息 系统 安全 保护 条 例 ) 等 一 系列 计算 机 网 络 安 全 方面 的 法 规 。 这 些 法 规 主要 涉及 信息 系统 
安全 保护 .国际 联网 管理 、 商 用 密码 管理 ,计算 机 病毒 防治 ,安全 产品 检测 与 销售 五 个 方面 。 
下 面 做 简单 介绍 。 


1. 计算 机 网 络 安全 及 信息 系统 安全 保护 


(1) 1991 年 ,国务 院 第 83 次 常委 会 议 通 过 《计算 机 软件 保护 条 例 》。 

(2) 国务 院 于 1994 年 2 月 发 布 ( 中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》。 

(3) 1997 年 10 月 ,我 国 第 一 次 在 修订 刑法 时 增加 了 计算 机 犯罪 的 罪名 。 

(4) 2000 年 12 月 ,第 九 届 全 国人 大 常委 会 通过 了 《全 国人 大 常委 会 关于 维护 互联 网 安 
全 的 决定 》。 

(5) 后 来 发 布 了 中 华人 民 共 和 国 国家 军用 标准 ,包括 :《 指 挥 自动 化 计算 机 网 络 安 全 要 
求 )《 军 队 通 用 计算 机 系统 使 用 安全 要 求 》。 

(6) 中 国人 民 银 行 令 [2001]:《 网 上 银行 业务 管理 暂行 办 法 》。 

(7) 证 监 信息 字 [1999]:《《 证 券 经 营 机 构 营 业 部 信息 系统 技术 管理 规范 (试行 ) 技 术 
指引 》。 

此 外 ,我 国 还 缔约 或 者 参与 了 许多 与 计算 机 相关 的 国际 性 的 法 律 和 法 规 , 如 《建立 世界 
知识 产权 组 织 公 约 》《 世 界 版 权 公 约 》《 与 贸易 有 关 的 知识 产权 (包括 假冒 商品 贸易 ) 协 
议 ) 等 。 


2. 国际 联网 管理 
加 强 对 计算 机 信息 系统 国际 联网 的 管理 ,是 保障 信息 系统 安全 的 关键 。 因 此 ,国务 院 、 
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公安 部 等 单位 共同 制定 了 下 面 多 个 关于 国际 联网 的 法 规 。 

(1) 国务 院 于 1996 年 2 月 1 日 发 布 (中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联网 管理 暂 
行规 定 》。 本 规定 体现 了 国家 对 国际 联网 实行 统筹 规划 、 统 一 标准 、 分 级 管理 ,促进 发 展 的 
原则 。 

(2) 国务 院 信息 化 工作 领导 小 组 于 1997 年 12 月 发 布 ( 中 华人 民 共 和 国 计 算 机 信息 网 
络 国际 联网 管理 暂行 规定 实施 办 法 》。 

(3) 公安 部 于 1997 年 12 月 发 布 (计算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 》, 目 的 
是 加 强国 际 联网 的 安全 保护 。 

(4) 原 邮电 部 于 1996 年 发 布 (中 国 公 用 计算 机 Internet 国际 联网 管理 办 法 》, 目 的 是 加 
强 对 中 国 公用 计算 机 (Internet Chinanet) 国 际 联网 的 管理 。 后 来 又 发 布 (计算 机 信息 网 络 
国际 联网 出 入 口 信 道 管理 办 法 》, 目 的 是 加 强 计算 机 信息 网 络 国际 联网 出 入 口 的 管理 。 

(5) 国家 保密 局 于 2000 年 1 月 发 布 (计算 机 信息 系统 国际 联网 保密 管理 规定 》, 目 的 是 
加 强国 际 联网 的 保密 管理 ,确保 国家 秘密 的 安全 。 


3. 商用 密码 管理 


国务 院 于 1999 年 10 月 发 布 (商用 密码 管理 条 例 》, 目 的 是 加 强 商用 密码 管理 ,保护 信息 
安全 ,保护 公民 和 组 织 的 合法 权益 ,维护 国家 的 安全 和 利益 。 


4. 计算 机 病毒 防治 


1989 年 ,公安 部 发 布 了 《计算 机 病毒 控制 规定 (草案 )》。2000 年 4 月 ,公安 部 又 发 布 了 
《计算 机 病毒 防治 管理 办 法 ), 目 的 是 加 强 对 计算 机 病毒 的 预防 和 治理 ,保护 计算 机 信息 系统 
去 全 5 


5. 安全 产品 检测 与 销售 


公安 部 于 1997 年 12 月 发 布 (计算 机 信息 系统 安全 专用 产品 检测 和 销售 许可 证 管理 办 
法 》, 目 的 是 加 强 计算 机 信息 系统 安全 专用 产品 的 管理 ,保证 安全 专用 产品 的 安全 功能 ,维护 
计算 机 信息 系统 的 安全 。 


1.4 习 题 
1. 网 络 的 主要 安全 隐患 有 哪些 方面 ? 
2. 有 哪些 常见 的 网 络 安全 认识 误区 ? 
3. 什么 是 容 灾 ? 简 述 容 灾 的 重要 作用 及 其 关键 技术 。 
4. 简 述 备份 与 容 灾 的 关系 。 
5. 简 述 网 络 安 全 设计 原则 。 
6. 国外 的 网 络 安全 法 律 和 法 规 认定 的 违法 行为 大 致 包括 哪些 方面 ? 
7. 我 国 的 网 络 安全 法 律 和 法 规 主要 涉及 哪 几 个 方面 ? 


多 


第 2 章 病毒、 蠕虫 和 木马 的 清除 与 预防 


本 章 学 习 目标 

。 计算 机 病毒 的 分 类 。 

。 计算 机 病毒 的 主要 特点 。 

。 部 署 企业 网 络 防 病毒 系统 。 

。 蠕虫 病毒 的 主要 特征 及 通用 的 清除 和 预防 方法 。 

。 木马 的 伪装 、 运 行 方式 及 通用 的 清除 和 预防 方法 。 

。 流 训 软 件 的 主要 特征 、 分 类 与 预防 方法 。 

计算 机 病毒 、 蚂 虫 和 木马 的 入 侵 仍 是 目前 主要 的 网 络 安 全 威胁 之 一 ,特别 是 近 几 年 蠕虫 
日 益 猩 狐 , 其 危害 性 已 经 超过 计算 机 病毒 和 木马 。 

计算 机 病毒 是 最 古老 ,也 是 大 家 最 熟悉 的 一 种 安全 威胁 。 当 然 它 也 在 随 着 计算 机 和 网 
络 技术 的 发 展 而 发 展 ,不 仅 病毒 品种 和 类 型 更 多 ,危害 性 更 大 ,而 且 检 测 和 查 杀 的 难度 也 
更 大 。 

其 中 有 一 个 明显 的 趋势 就 是 网 络 类 型 的 蠕虫 (如 维 金 、 能 猫 烧 香 蠕 虫 等 ) 成 为 当前 互联 
网 主要 的 危害 ,而 且 还 与 木马 类 程序 相 结合 ,危害 性 明显 加 大 。 

木马 也 是 当前 的 主要 安全 威胁 之 一 ,其 危害 性 绝 不 比 计算 机 病毒 低 , 因 为 它 可 以 窃取 用 
户 的 有 用 信息 和 机 蜜 文件 ,同时 也 会 影响 计算 机 系统 的 运行 。 当 前 仍 在 肆意 横行 的 灰 铝 子 
就 是 当前 木马 程序 的 主要 代表 ,其 变种 就 有 上 万 种 之 多 。 可 见 其 查 杀 的 难度 有 多 大 。 

流氓 软件 (国内 官方 的 定义 为 “恶意 软件 ”。 在 本 书 中 “恶意 程序 ” 指 有 害 程 序 的 总 称 ) 的 
危害 也 日 趋 明显 ,主要 表现 是 侵占 计算 机 系统 资源 、 窃 取 用 户 信息 、 影 响 计 算 机 系统 运行 ,有 
人 甚至 认为 它 比 计算 机 病毒 更 可 怕 。 

本 章 全 面 介绍 与 计算 机 病毒 .蠕虫 和 木马 有 关 的 基础 知识 ,并 通过 具体 的 实用 工具 介绍 
相应 的 清除 与 预防 方法 。 


2.1 计算 机 病毒 


对 计算 机 网 络 系统 的 最 大 威胁 之 一 ,就 是 计算 机 病毒 。 对 计算 机 病毒 的 说 法 有 两 种 ,从 
广义 上 说 , 凡 利用 系统 和 程序 的 脆弱 性 及 漏洞 进行 攻击 的 ,能 够 引起 计算 机 故障 ,破坏 计算 
机 数据 的 程序 统称 为 恶意 程序 (rogue program), 即 广义 上 的 计算 机 病毒 。 从 狭义 上 说 , 计 
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算 机 病毒 是 指 自身 具有 或 使 其 他 程序 具有 破坏 系统 功能 、 危 害 用 户 数据 或 其 他 恶意 行为 的 
一 类 程序 。 这 类 程序 往往 影响 计算 机 使 用 ,并 能 够 自我 复制 。 

计算 机 病毒 程序 可 以 通过 修改 某 些 程序 以 达到 感染 该 程序 的 目的 。 修 改 操作 可 能 包含 
复制 病毒 程序 ,然后 去 感染 其 他 程序 。 典 型 的 计算 机 病毒 进入 主机 之 后 将 驻 留 其 中 ,临时 控 
制 计算 机 的 磁盘 操作 系统 ,感染 病毒 后 的 计算 机 运行 其 他 未 感染 的 程序 后 ,病毒 的 副本 就 会 
进入 这 些 程序 中 。 计 算 机 病毒 就 这 样 通过 无 警惕 性 的 用 户 的 存储 U 盘 或 者 在 网 络 上 交换 
文件 传播 开 来 。 由 于 网 络 环境 下 访问 其 他 计算 机 上 的 资源 是 一 件 非 常 普通 的 事情 ,这 使 得 
网 络 成 为 计算 机 病毒 培育 和 传播 的 良好 环境 。 

病毒 程序 可 以 做 其 他 程序 可 以 做 的 任何 事情 。 与 普通 程序 相 比 ,病毒 程序 的 唯一 不 同 
之 处 就 在 于 , 当 宿 主 程序 执行 的 时 候 病 毒 程序 就 会 秘密 执行 自己 的 功能 。 一 旦 病毒 被 激活 ， 
就 可 以 实现 设计 者 所 设计 的 功能 ,比如 删除 文件 和 程序 等 。 


2.1.1 计算 机 病毒 的 主要 特点 


尽管 计算 机 病毒 的 数量 和 种 类 都 非常 多 ,而 且 每 天 都 可 能 有 新 的 计算 机 病毒 产生 ,但 它 
们 肯定 存在 某 些 共 性 ,否则 我 们 就 不 可 能 把 它们 统 归 于 计算 机 病毒 。 因 为 我 们 已 经 知道 , 计 
算 机 病毒 也 是 一 种 计算 机 程序 文件 ,只 不 过 其 目的 和 运行 方式 与 一 般 的 程序 不 一 样 。 当 然 
它 还 具有 许多 正常 程序 所 不 具有 的 特点 ,综合 起 来 表现 在 如 下 几 个 方面 。 


1. 未 经 授权 执行 


一 般 正 常 的 计算 机 程序 是 由 用 户 调用 ,再 由 系统 分 配 资源 运行 的 。 它 们 的 目的 对 用 户 
是 可 见 的 、 透 明 的 ;而 病毒 程序 虽然 也 是 计算 机 程序 ,但 它 必须 隐藏 在 正常 程序 中 , 当 用 户 调 
用 正常 程序 时 窃取 到 系统 的 控制 权 , 先 于 正常 程序 执行 ,因为 没有 哪个 人 会 主动 运行 那些 明 
知 是 计算 机 病毒 的 程序 ,也 没有 哪个 人 会 发 现 了 计算 机 病毒 文件 而 不 进行 清除 ,除非 是 专门 
从 事 计 算 机 病毒 研究 的 。 计 算 机 病毒 的 运行 和 最 终 目 的 对 用 户 来 说 是 未 知 的 , 且 未 经 用 户 
许可 。 


2. 隐蔽 性 


因为 病毒 是 不 受 欢 迎 的 ,所 以 为 了 不 被 人 发 现 , 必 须 隐 藏 起 来 。 为 了 实现 这 一 目标 , 病 
毒 程序 一 般 是 有 很 高 编程 技巧 同时 又 短小 精 悍 的 程序 ,如 只 有 几 KB( 千 字 节 ) 或 者 几 十 
KB ,运行 起 来 既 不 需要 占用 太 多 资源 ,也 不 需要 多 少时 间 ,完全 可 以 做 到 让 人 无 法 察觉 。 

病毒 通常 附着 在 正常 程序 或 磁盘 较 隐藏 的 地 方 : 也 有 个 别 的 以 隐藏 文件 出 现 。 这 样 
就 不 易 发 觉 。 一 般 情况 下 ,系统 被 病毒 感染 后 用 户 感觉 不 到 它 的 存在 ,计算 机 系统 通常 
仍 能 正常 运行 ,只 有 在 其 发 作 或 是 系统 出 现 不 正常 反应 时 候 用 户 才 能 觉察 出 来 。 典 型 的 
Tiny 家 族 DoS 病毒 都 很 短小 .最 小 的 计算 机 病毒 代码 长 度 只 有 133B。 


3. 传染 性 


传染 性 是 病毒 的 基本 特征 。 病 毒 一 旦 侵入 系统 , 它 会 搜索 符合 其 传染 条 件 的 程序 或 存 
储 媒介 ,确定 目标 后 将 自身 代码 插入 其 中 ,达到 自我 繁殖 的 目的 。 只 要 一 台 计算 机 染 毒 ,如 
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不 及 时 处 理 , 那 么 病毒 会 在 这 台 计 算 机 上 迅速 扩散 ,其 中 的 大 量 文件 会 被 感染 。 而 被 感染 的 
文件 又 成 了 新 的 感染 源 。 当 与 其 他 机 器 进行 数据 交换 或 通过 网 络 接触 时 ,病毒 会 继续 进行 
感染 。 病 毒 利用 一 切 计算 机 通信 资源 进行 传播 ,一 般 的 传播 媒介 包括 : 可 移动 设备 硬盘 ， 
最 主要 的 是 计算 机 网 络 。 是 否 具有 传染 性 是 判别 一 个 程序 是 否 为 计算 机 病毒 的 最 重要 的 
条 件 ， 


4. 潜伏 性 


大 部 分 病毒 感染 系统 后 一 般 不 会 马上 发 作 , 它 可 以 隐藏 在 系统 中 ,只 有 在 满足 其 特定 条 
件 的 时 候 才 启动 其 破坏 功能 ,这 样 它 就 可 以 被 广泛 地 传播 。 潜 伏 性 愈 好 ,其 在 系统 中 的 存在 
时 间 就 会 愈 久 , 计 算 机 病毒 的 传染 范围 就 会 愈 大 。 著 名 的 “黑色 星期 五 ”每 着 13 号 的 星期 五 
发 作 ,CIH 病毒 发 作 是 在 4 月 26 号 。 在 潜伏 期 间 , 不 用 专用 检测 程序 一 般 检查 不 出 计算 机 
病毒 程序 ,因此 计算 机 病毒 可 以 静 静 地 躲 在 磁盘 或 磁带 里 ,一 旦 条 件 满足 就 会 发 作 。 计 算 机 
病毒 是 依靠 一 定 的 触发 条 件 进行 发 作 的 ,不 满足 触发 条 件 时 ,计算 机 病毒 除了 传染 外 不 做 什 
么 破坏 。 一 旦 触发 条 件 得 到 满足 ,有 的 在 屏幕 上 显示 信息 、 图 形 或 特殊 标识 ,有 的 则 执行 破 
坏 系统 的 操作 ,如 格式 化 磁盘 删除 磁盘 文件 ,对 数据 文件 做 加 密 、 封 锁 键 盘 以 及 使 系统 崩 
溃 等 。 


5. 破坏 性 


病毒 一 旦 攻 入 了 系统 ,会 对 系统 及 其 应 用 程序 产生 不 同 程度 的 影响 。 轻 者 会 降低 计算 
机 工作 效率 ,占用 系统 资源 ; 重 者 可 以 导致 系统 崩溃 。 按 照 影响 的 程度 不 同 ,可 将 病毒 分 为 
良性 病毒 和 恶性 病毒 。 一 些 恶性 病毒 会 破坏 数据 文件 ,甚至 破坏 硬件 设备 。 一 些 常见 的 破 
坏 行为 如 下 。 

(1) 攻击 系统 数据 区 : 修改 或 删除 硬盘 主 引 导 扇 区 .FAT 表 以 及 文件 目录 等 信息 。 

(2) 攻击 文件 : 修改 或 删除 系统 文件 。 

(3) 攻击 内 存 : 占用 大 量 内存 ,改变 内 存 总 量 、. 禁 止 分 配 内 存 或 甜食 内 存 等 。 

(4) 干扰 系统 运行 : 干扰 内 部 命令 执行 .强制 死机 、 重 启 等 。 

(5) 攻击 磁盘 : 不 写 盘 、 写 操作 变 读 操 作 、 写 盘 时 丢失 字 节 或 者 格式 化 硬盘 等 。 

(6) 消耗 系统 资源 : 包括 消耗 操作 系统 资源 和 网 络 资源 。 

(7) 改动 系统 配置 : 比如 CIH 病毒 就 会 修改 FlashROM 中 的 BIOS 信息 。 

(8) 盗 取 泄露 信息 。 


6. 不 可 预见 性 


从 对 计算 机 病毒 的 检测 方面 来 看 ,计算 机 病毒 还 有 不 可 预见 性 。 由 于 目前 的 软件 种 类 
极其 丰富 , 某 些 正常 程序 也 使 用 了 类 似 病毒 的 操作 ,甚至 借鉴 了 某 些 病毒 的 技术 ,所 以 使 得 
用 杀毒 软件 对 病毒 进行 检测 会 造成 较 多 的 误 报 情 况 。 而 且 病 毒 的 制作 技术 也 在 随 着 计算 机 
和 网 络 技术 的 发 展 而 不 断 地 提高 ,新 型 计算 机 病毒 所 具有 的 某 些 技术 或 许 在 正常 程序 中 都 
还 没有 实现 ,因此 任何 病毒 检测 技术 只 能 处 理 已 知 病毒 或 小 部 分 的 未 知 病毒 ,不 存在 检测 所 
有 病毒 的 有 效 程序 。 病 毒 和 检测 技术 始终 呈 相 互 激励 的 增长 态势 。 
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7. 病毒 的 生命 周期 


病毒 的 生命 周期 可 分 为 如 下 四 个 阶段 。 

(1) 休眠 阶段 。 在 该 阶段 病毒 不 进行 操作 ,而 是 等 待 触发 ,触发 条 件 包括 日 期 \ 其 他 程 
序 或 文件 的 出 现 、 磁 盘 容 量 超过 某 个 限度 等 。 并 不 是 所 有 的 病毒 都 有 这 一 阶段 。 

(2) 传播 阶段 。 在 这 一 阶段 ,病毒 把 自己 的 副本 植 和 人 其 他 程序 或 者 某 个 系统 的 磁盘 区 
域 。 每 一 个 被 感染 的 程序 将 含有 病毒 的 一 个 副本 ,并 且 此 副本 也 开始 向 其 他 程序 进行 传播 。 

(3) 触发 阶段 。 这 一 阶段 病毒 被 激活 以 执行 病毒 设计 者 预先 设计 好 的 功能 。 与 休眠 阶 
段 类 似 , 病 毒 进入 这 一 阶段 同样 需要 一 些 系统 事件 的 触发 ,还 包括 病毒 本 身 复制 的 副本 数 达 
到 某 个 门限 值 。 

(4) 执行 阶段 。 这 一 阶段 病毒 执行 预 设 的 功能 。 这 些 功 能 也 有 可 能 是 无 害 的 ,比如 仅 
仅 是 在 屏幕 上 显示 一 条 消息 等 ;也 可 能 是 破坏 性 的 ,比如 程序 或 数据 文件 的 破坏 等 。 

大 多 数 病毒 的 作用 范围 都 是 针对 某 一 特定 的 操作 系统 而 设计 的 , 某 种 操作 系统 的 病毒 
对 另 一 种 操作 系统 是 无 效 的 ,有 些 病毒 还 可 能 只 是 针对 某 一 特定 的 硬件 平台 。 因 此 ,病毒 的 
设计 需要 对 特定 系统 的 细节 和 弱点 有 深入 的 了 解 。 


2.1.2 广义 计算 机 病毒 的 分 类 


如 今 计算 机 病毒 是 越 来 越 多 了 ,每 天 网 络 上 都 会 新 增 数 以 万 计 的 病毒 。 病 毒 . 肾 虫 、. 木 
马 等 ,都 是 我 们 日 常 网 络 生活 中 经 常 碰 到 的 关于 病毒 的 概念 ,那么 ,究竟 病毒 是 怎么 分 类 的 
呢 ? 就 请 看 看 下 面 ,按照 不 同 的 分 类 方法 ,计算 机 病毒 大 致 可 分 类 如 下 。 


1. 一 般 分 类 方法 


综合 病毒 本 身 的 技术 特点 ,攻击 目标 ,传播 方式 等 各 个 方面 ,一般 情况 下 ,将 病毒 大 致 分 
为 以 下 几 类 : 

(1) 传统 病毒 。 传 统 病毒 通过 改变 文件 或 者 其 他 东西 进行 传播 ,通常 有 感染 可 执行 文 
件 的 文件 型 病毒 和 感染 引导 扇 区 的 引导 型 病毒 。 

(2) 宏 病毒 (Macro) 。 宏 病毒 是 一 种 利用 Word、Excel 等 的 宏 脚 本 功能 进行 传播 的 
病毒 。 

(3) 恶意 脚本 (Script) 。 恶 意 脚本 是 一 种 做 破坏 的 脚本 程序 。 包 括 HTML 脚本 、 批 处 
理 脚 本 .VB JS 脚本 等 。 

(4) 蠕虫 (Worm) 程 序 。 蠕 虫 病毒 是 一 种 可 以 利用 操作 系统 的 漏洞 .电子 邮件 、P2P 软 
件 等 自动 传播 自身 的 病毒 。 

(5) 木马 (Trojan) 程 序 。 当 病毒 程序 被 激活 或 启动 后 用 户 无 法 终止 其 运行 。 广 义 上 
说 ,所 有 的 网 络 服务 程序 都 是 木马 ,判定 是 否 是 木马 病毒 的 标准 不 好 确定 ,通常 的 标准 是 : 
在 用 户 不 知情 的 情况 下 安装 ,隐藏 在 后 台 ,服务 器 端 一 般 没 有 界面 无 法 配置 。 

(6) 黑客 (Hacker) 程 序 。 黑 客 程序 利用 网 络 来 攻击 其 他 计算 机 的 网 络 工具 ,被 运行 或 
激活 后 就 像 其 他 正常 程序 一 样 有 界面 ;黑客 程序 是 用 来 攻击 /破坏 别人 的 计算 机 ,对 使 用 者 
本 身 的 机 器 没有 损害 。 
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(7) 破坏 性 程序 (Harm) 。 病 毒 启动 后 ,破坏 用 户 计 算 机 系统 ,如 删除 文件 .格式 化 硬盘 
等 。 常 见 的 是 BAT 文件 ,也 有 一 些 是 可 执行 文件 ,有 一 部 分 和 恶意 网 页 结合 使 用 。 


2. 按照 病毒 存在 的 载体 分 类 


按照 病毒 的 载体 ,一般 可 以 分 为 以 下 几 种 : 

(1) 文件 型 病毒 。 此 类 病毒 以 文件 形式 存在 ,是 目前 流行 的 主要 形式 。 其 中 根据 操作 
系统 不 同 , 又 分 很 多 类 ,如 DoS 类 病毒 、Windows 类 病毒 .Linux 类 病毒 等 。 这 些 病毒 跟 操 
作 系 统 紧密 相关 。Dos 类 病毒 在 DOS 下 面 传播 得 很 凶猛 ,但 在 Windows 平台 上 已 经 很 少 
了 ,最 新 的 Windows 64 已 经 不 再 支持 16 位 程序 了 ,这 类 病毒 已 经 走 到 了 尽头 。 

(2) 引导 区 病毒 。 此 类 病毒 存放 在 软盘 引导 区 、 硬 盘 主 引 导 区 和 系统 引导 区 。 由 于 病 
毒 在 宿主 的 操作 系统 启动 前 就 加 载 到 内 存 中 ,具有 操作 系统 无 关 性 ,可 以 感染 所 有 的 X86 
类 计算 机 。 因 此 这 类 病毒 将 长 期 存在 。 

(3) 网 络 蠕虫 病毒 。 以 网 络 为 载体 ,如 一 度 流 行 的 SQL 杀手 。 当 然 , 纯 粹 网 络 蠕虫 病 
毒 比较 少 。 

(4) 混合 类 的 病毒 。 病 毒 分 类 没有 完全 清晰 的 划分 ,很 多 病毒 为 了 达到 广泛 传播 的 目 
的 ,通常 采用 更 多 的 方式 ,如 3783 病毒 ,可 以 感染 引导 区 、DOS 程序 、Windows 程序 ;而 
Winux 病毒 则 可 以 感染 Windows, 也 可 以 感染 Linux; 大 部 分 网 络 蠕虫 病毒 也 是 文件 型 病 
毒 。 表 2-1 是 常见 的 计算 机 病毒 分 类 。 


表 2-1 常见 的 计算 机 病毒 分 类 


病毒 类 型 特征 危害 
文件 型 感染 DOS 下 的 COM、EXE 文件 随 着 DOS 的 消失 已 逐步 消失 ,危害 越 来 越 小 
引导 性 。 ”| 启动 DOS 系 统 时 病毒 被 击发 随 着 DOS 的 消失 已 逐步 消失 ,危害 越 来 越 小 
家 病毒 。 | 和 对 的 一 种 病毒 ,由 Oiee 的 宏 | 只 感染 Offiee 文档 ,其 中 以 Word 文档 为 主 
脚本 病毒 ”| 通过 IE 浏览 器 激活 用 户 浏览 网 页 时 会 感染 ,清除 较 容易 
i 有 些 采用 电子 邮件 附件 的 方式 发 出 ,有 | 破坏 文件 ` 造 成 数据 丢失 ,使 系统 无 法 正常 运 

些 利用 操作 系统 漏洞 进行 攻击 行 ,是 目前 危害 性 最 大 的 病毒 

不 马 通常 是 病毒 携带 的 一 个 附属 程序 夺取 计算 机 控制 权 
黑客 程序 “| 一 个 利用 系统 漏洞 进行 人 侵 的 工具 。 ”| 通常 会 被 计算 机 病毒 所 携带 ,用 以 进行 破坏 


3. 按照 病毒 传染 的 方法 分 类 


按 此 分 类 方法 病毒 可 分 为 四 种 类 型 : 人 侵 型 病毒 .嵌入 式 病毒 .外 壳 类 病毒 和 病毒 生 
产 机 。 

入 侵 型 病毒 是 通过 外 部 媒介 侵入 宿主 机 器 的 :嵌入 式 病毒 则 是 通过 嵌入 到 某 一 正常 的 
程序 中 ,然后 通过 某 一 触发 机 制 发 作 ; 外 壳 类 病毒 使 用 特殊 算法 把 自己 压缩 到 正常 文件 上 ， 
这 样 当 被 害 者 解压 时 即 执行 病毒 程序 ;病毒 生产 机 是 可 以 “批量 生产 ”出 大 量具 有 同一 特征 
的 “同族 ”病毒 的 特殊 程序 。 这 些 病 毒 的 代码 长 度 各 不 相同 ,自我 加 密 、 解 密 的 密 钥 也 不 同 ， 
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发 作 条 件 和 现象 不 同 , 但 其 主体 构造 和 原理 基本 相同 。 
4. 按照 病毒 自身 特征 分 类 


根据 病毒 自身 存在 的 编码 特征 可 以 将 计算 机 病毒 分 为 两 种 : 

(1) 伴随 型 病毒 。 这 一 类 病毒 并 不 改变 文件 本 身 , 它 们 根据 算法 产生 EXE 文件 的 伴随 
文件 。 

(2) 变型 病毒 。 这 一 类 病毒 使 用 一 个 复杂 的 算法 ,使 自己 每 传播 一 份 都 具有 不 同 的 内 
容 和 长 度 。 此 类 病毒 通常 是 由 一 段 混 有 无 关 指 令 的 解码 算法 和 被 变化 过 的 病毒 体 组 成 。 


5. 本 书 对 计算 机 病毒 的 分 类 


图 2-1 给 出 了 计算 机 病毒 的 总 体 分 类 。 这 些 计算 机 病毒 可 以 分 为 两 类 ,一 类 需要 驻 留 
在 一 个 宿主 程序 内 ,不 是 独立 的 程序 ; 另 一 类 是 可 以 独立 存在 的 。 前 一 类 实质 上 是 一 些 程序 
片段 ,它们 必须 依赖 于 一 些 实际 应 用 程序 、 工 具 软 件 或 系统 程序 才能 生存 ,后 者 是 一 些 可 以 
由 操作 系统 调度 和 运行 的 独立 程序 。 


恶意 程序 ( 广义 计算 机 病毒 ) 


需要 依附 主 程序 独立 运行 


逻辑 炸弹 木马 


传统 病毒 | | 。 是 虫 流 训 软件 | 


| 一 不 能 自我 复制 一 "| 上 | 一 能 自我 复制 一 >| |< 不 能 自我 复制 
图 2-1 广义 计算 机 病毒 的 分 类 


另外 一 种 分 类 方法 是 将 这 些 计 算 机 病毒 分 为 不 可 进行 自身 复制 的 和 可 以 进行 自身 复制 
的 两 类 。 前 一 类 在 宿主 程序 被 触发 的 时 候 执行 相应 程序 操作 ,但 不 会 进行 自我 复制 和 传播 
操作 ;后 者 包括 程序 段 (传统 病毒 ) 或 独立 的 程序 (蠕虫 ) ,这 些 程序 执行 的 时 候 将 自动 产生 自 
身 的 一 个 或 多 个 副本 ,这 些 副 本 在 合适 的 时 机 将 在 本 系统 或 其 他 系统 内 被 激活 。 

这 是 本 书 对 计算 机 病毒 的 一 种 分 类 ,但 这 个 分 类 不 是 绝对 的 ,各 种 计算 机 病毒 可 以 相互 
配合 运行 。 例 如 ,逻辑 炸弹 或 木马 都 可 能 是 传统 病毒 和 蠕虫 的 一 部 分 。 

提示 : 逻辑 炸弹 (Logic Bomb) 是 出 现 最 早 的 程序 威胁 类 型 之 一 。 带 辑 炸弹 实际 上 
是 嵌 在 合法 程序 中 的 代码 段 ,在 某 些 条 件 满足 的 时 候 该 炸弹 将 “引爆 ”。 这 些 引 爆 逻 辑 炸 弹 
的 条 件 可 能 包括 特定 文件 的 出 现 或 者 消失 、 星 期 中 的 一 个 特定 日 子 或 者 菜 特定 的 用 户 运 行 
了 一 个 程序 等 。 一 旦 引爆 , 带 辑 炸弹 将 修改 \、 删 除数 据 和 文件 ,使 系统 停机 或 带 来 一 些 其 他 
危害 。 例 如 ,作为 某 种 版 权 保 护 方案 , 某 个 应 用 程序 有 可 能 会 在 运行 几 次 后 就 在 硬盘 中 将 其 
自身 删除 ; 某 个 程序 员 有 可 能 希望 他 的 程序 包含 某 些 多 余 的 代码 ,以 使 程序 运行 时 对 某 些 系 
统 产 生 恶意 的 操作 。 一 个 著名 的 还 辑 炸弹 的 例子 是 美国 的 Tim Lloyd 案例 ,他 被 指控 在 自 
己 工作 的 Omega Engineering 公司 的 网 络 中 设置 了 逻辑 炸弹 ,造成 了 超过 一 千 万 美元 的 经 
济 损失 , 打 乱 了 公司 的 发 展 计划 ,并 导致 80 个 工作 人 员 失 业 。Lloyd 被 判 41 个 月 监禁 ,并 
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2.1.3 计算 机 病毒 的 发 展 趋势 


每 当 一 种 新 的 计算 机 技术 广泛 应 用 的 时 候 , 总 会 有 相应 的 病毒 随 之 出 现 。 例 如 , 随 着 微 
软 宏 技 术 的 应 用 , 宏 病 毒 成 了 简单 而 又 容易 制作 的 流行 病毒 之 一 ; 随 着 Internet 网 络 的 普 
及 ,各 种 蠕虫 病毒 如 爱 虫 .SirCAM 等 疯狂 传播 。21 世纪 初 甚至 产生 了 集 病毒 和 黑客 攻击 
于 一 体 的 病毒 ,如 “红色 代码 "(CodeRed) 病 毒 、Nimda 病毒 和 “冲击 波 ” 病 毒 等 。 

在 网 络 技 术 飞 速 发 展 的 今天 ,病毒 的 发 展 呈 现 出 以 下 趋势 : 

(1) 病毒 与 黑客 技术 相 结 合 。 随 着 网 络 的 普及 与 网 速 的 提高 ,使 得 计算 机 之 间 的 远程 
控制 越 来 越 方 便 , 传 输 文件 也 变 得 非常 快捷 , 正 因为 如 此 ,病毒 与 黑客 技术 结合 以 后 的 危害 
更 为 严重 ,病毒 的 发 作 往往 在 侵入 了 一 台 计 算 机 后 ,又 通过 网 络 侵入 其 他 的 计算 机 。 

(2) 蠕虫 病毒 更 加 泛滥 。 其 代表 包括 邮件 病毒 、 网 页 病毒 。 以 后 ,利用 系统 存在 的 漏洞 
而 制作 的 病毒 会 越 来 越 多 ,这 类 病毒 由 受到 感染 的 计算 机 自动 向 网 络 中 的 计算 机 发 送 带 毒 
文件 ,然后 执行 病毒 程序 。 

(3) 病毒 破坏 性 更 大 。 计 算 机 病毒 不 再 仅仅 以 侵占 和 破坏 单机 的 资源 为 目的 。 木 马 病毒 
的 传播 使 得 病毒 在 发 作 的 时 候 有 可 能 自动 联络 病毒 的 创造 者 (如 爱 虫 病毒 ) ,或 者 采取 DoS( 拒 
绝 服务 ) 的 攻击 (如 “红色 代 码 "? 病 毒 ) 。 一 方面 可 能 会 导致 本 机 机 密 资 料 的 泄露 ; 另 一 方面 会 导 
致 一 些 网 络 服务 的 中 止 。 而 蠕虫 病毒 则 会 抢占 有 限 的 网 络 资源 ,造成 网 络 堵塞 (如 Nimda 病 
毒 ), 如 有 可 能 ,还 会 破坏 本 地 的 资料 (如 针对 “9。11? 恐 怖 事件 的 Vote 病毒 ) 。 

(4) 制作 病毒 的 方法 更 简单 。 网 络 的 普及 ,使 得 编写 病毒 的 知识 越 来 越 容易 获得 。 同 
时 ,各 种 功能 强大 而 易学 的 编程 工具 使 用 户 可 以 轻松 编写 一 个 具有 极 强 杀伤 力 的 病毒 程序 。 
用 户 通过 网 络 甚 至 可 以 获得 专门 编写 病毒 的 工具 软件 ,只 需要 通过 简单 的 操作 就 可 以 生成 
具有 破坏 性 的 病毒 。 

(5) 病毒 传播 速度 更 快 ,传播 渠道 更 多 。 目 前 上 网 用 户 已 不 再 局 限于 收发 邮件 和 网 站 
浏览 ,此 时 ,文件 传输 成 为 病毒 传播 的 另 一 个 重要 途径 。 随 着 网 速 的 提高 ,在 数据 传输 时 间 
变 短 的 同时 ,病毒 的 传送 时 间 会 变 得 更 加 微不足道 。 同 时 ,其 他 的 网 络 连接 方式 如 ICQ、 
IRC(Internet Relay Chat, 互 联网 中 继 聊 天 ) 也 成 为 传播 病毒 的 途径 。 

(6) 病毒 的 检测 与 查 杀 更 困难 。 病 毒 可 能 采用 一 些 技术 防止 被 查 杀 , 如 变形 、 对 原 程序 
加 密 、 拦 截 API(Application Programming Interface, 应 用 程序 编程 接口 ) 函 数 ,甚至 主动 攻 
击 杀毒 软件 等 。 


2.2 计算 机 病毒 防护 软件 


对 于 计算 机 病毒 ,尽管 我 们 可 以 从 病毒 本 身 的 特征 代码 进行 分 析 , 从 而 找到 相应 的 手动 
清除 方法 进行 手工 清除 ,但 要 真正 能 全 面 手工 方式 清除 病毒 的 人 少 之 又 少 。 即 使 真能 清除 ， 
那 也 是 仅仅 对 个 别 病毒 而 言 ,这 对 于 企业 网 络 安全 维护 并 没有 什么 实际 意义 。 因 此 对 于 大 
多 数 用 户 来 说 ,主要 还 是 通过 选用 专门 的 杀 病 毒 软件 自动 进行 防护 和 清除 。 


网 络 安全 技术 案例 教程 


在 计算 机 病毒 防护 软件 中 ,又 可 分 为 个 人 版 和 网 络 版 。 个 人 版 是 对 单一 主机 进行 病毒 
防护 和 清除 ,适用 于 单机 的 个 人 用 户 选 择 ;而 网 络 版 是 针对 各 个 企业 的 不 同 需 求 ,为 企业 网 
络 量 身 定制 的 特定 企业 专用 版 , 它 对 整个 网 络 进行 病毒 防护 和 清除 ,适用 于 企业 用 户 选 择 。 
下 面 分 别 进行 介绍 。 


1. 个 人 版 病毒 防护 软件 


个 人 版 病毒 防护 软件 大 家 并 不 陌生 ,因为 凡是 上 网 的 用 户 基 本 上 都 必须 安装 一 款 以 上 
这 类 杀 病 毒 软件 。 现 在 计算 机 病毒 太 猩 镍 了 ,不 安装 病毒 防护 软件 简直 不 可 思议 ,除非 该 用 
户 根 本 不 知道 还 有 “计算 机 病毒 "这 个 概念 。 

个 人 版 病毒 防护 软件 非常 多 ,经 常见 到 的 不 下 10 款 ,如 国内 的 金山 毒霸 、 瑞 星 、 江 民 、 熊 
猫 、 趋 热 (PC-Cillin)。 目 前 国内 的 病毒 防护 软件 的 最 新 版 基本 上 是 2008 版 。 国 外 的 如 俄 罗 
斯 的 卡巴 斯 基 (Kaspersky)、 斯 洛 伐 克 的 ESET NOD32、 捷 克 的 AVG、 德 国 的 小 红 爹 
AntiVir、 罗 马 尼 亚 的 BitDefender、 芬 兰 的 F-Secure AntiVirus、 美 国 的 麦 咯 啡 (McAfee 
Virusscan) 和 诺顿 (Norton AntiVirus)。 这 些 病毒 防护 软件 可 以 说 是 各 有 优 、 缺 点 ,但 从 总 
体 查 杀 病 毒 能 力 来 看 ,国外 的 还 是 要 优 于 国内 的 。 根 据 笔者 使 用 经 验 , 最 终 认 为 还 是 像 国外 
的 卡巴 斯 基 ,NOD32 和 AVG 不 错 , 国 内 一 些 杀 病毒 软件 查 不 到 的 ,这 些 杀 病毒 软件 却 可 以 
查 出 许多 ,而 且 的 确 是 解决 了 许多 因 病毒 引起 的 系统 和 应 用 软件 故障 。 下 面 对 几 款 经 典 的 
杀 病 毒 软件 进行 简单 介绍 : 

1) 卡巴 斯 基 互 联网 安全 套装 8.0 个 人 版 

卡巴 斯 基 互 联网 安全 套装 8.0 个 人 版 ,是 笔者 试用 后 杀 病 毒 和 木马 能 力 最 强 的 病毒 防 
护 软件 之 一 。 它 为 计算 机 提供 信息 安全 保障 的 组 合 解决 方案 ,可 使 计算 机 免 受 各 种 网 络 威 
胁 ,包括 : 病毒 .黑客 攻击 .垃圾 邮件 及 间谍 软件 。 它 结合 了 所 有 卡巴 斯 基 实 验 室 的 最 新 技 
术 , 针 对 恶意 代码 、 网 络 攻击 以 及 垃圾 邮件 进行 防护 。 所 有 的 程序 组 件 可 以 无 颖 结合 ,从 而 
避免 了 不 必要 的 系统 冲突 ,确保 系统 高 效 运行 。 

卡巴 斯 基 杀 病毒 和 木马 的 能 力 不 及 后 面 将 要 介绍 的 AVG, 而 且 还 存在 许多 误 报 现象 。 
如 对 一 款 ADSL 拨号 软件 运行 中 的 Invader. exe 和 drwsn32. exe 程序 总 是 提示 为 风险 软 
件 ,实际 上 要 运行 这 款 拨号 软件 就 必须 运行 这 两 个 程序 。 

2) ESET NOD32 AntiVirus 4.0 

NOD32 是 由 ESET 发 明 设 计 的 杀毒 防毒 软件 。ESET 于 1992 年 创立 ,是 斯 洛 伐 克 一 
个 全 球 性 的 安全 防范 软件 公司 ,主要 为 企业 和 个 人 消费 者 提供 服务 。 其 得 奖 之 旗舰 产品 
NOD32 能 针对 已 知 及 未 知 的 病毒 .间谍 软件 (Spyware) 及 其 他 对 用 户 系统 带 来 威胁 的 程序 
进行 实时 的 查 杀 。 

NOD32 是 由 ESET( 斯 洛 伐 克 一 个 全 球 性 的 安全 防范 软件 公司 ) 发 明 设计 的 近年 在 全 
球 迅速 崛起 的 一 个 防 病毒 产品 。NOD32 非常 轻巧 易 用 . 因 其 惊人 的 侦 测 速度 及 卓越 的 性 
能 , 它 已 成 为 许多 用 户 和 IT 专家 的 首选 。 事 实 上 ,经 多 家 检测 权威 确认 ,NOD32 在 速度 、 精 
确 度 和 各 项 表现 上 已 拥有 多 项 的 全 球 纪录 。 

在 速度 上 ,NOD32 保持 轻巧 及 极 快 的 侦察 速度 。 根据 Virus Bulletin 多 次 的 测试 ， 
NOD32 的 扫描 速度 大 约 比 其 他 市 场 竞争 者 高 出 2 一 50 倍 ,扫描 速度 达到 70Mbps。 大 部 分 
曾经 使 用 过 其 他 防 病毒 产品 的 用 户 都 能 感觉 其 不 同 凡响 的 表现 能 力 。 


在 资源 占用 上 ,NOD32 整个 程序 的 安装 只 
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占用 7 一 8 兆 的 内 存 空 间 , 在 安装 后 ,大 约 占 


用 28 兆 的 内 存 空 间 , 比 其 他 同类 产品 占用 的 内 存 少 约 3~5 倍 。 
虽然 占用 的 空间 比较 小 , 它 的 性 能 却 毫 不 逊色 。 在 侦 测 率 上 ,NOD32 在 Virus Bulletin 


上 雄 路 榜首 ,已 经 连续 57 次 获得 VB 
100% 奖 项 。 同时, NOD32 连续 10 年 在 
侦 测 上 没有 遗漏 任何 一 种 ItW (In-the- 


Wild) 计 算 机 病毒 ,成 为 世界 上 唯一 有 此 es 人 Q sos 
成 绩 的 防 病毒 软件 。 Or "ea 
从 使 用 经 验 看 , NOD32 确实 是 一 款 用 洒 二 9 
检查 速度 极 快 . 杀 病 毒 和 木马 都 不 错 的 杀 | 时 二 ee 
毒 防毒 软件 。ESET NOD32 AntiVirus 4 @ afx# 
是 2008 年 正式 上 市 的 最 新 版 ,其 主 界面 ” 守 训 、 anaremneun (GE 


如 图 2-2 所 示 。 
3) 360 安全 卫士 


图 2-2 ESET NOD32 AntiVirus 4 主 界面 


在 这 里 不 得 不 提 的 是 奇 虎 公司 的 360 安全 卫士 , 主 界面 如 图 2-3 所 示 。 虽 然 360 安全 
卫士 只 是 一 款 完 全 免费 的 安全 类 上 网 辅助 工具 软件 ,不 是 真正 的 杀毒 软件 ,但 它 不 仅 具 有 流 
谍 软 件 清除 功能 ,还 具有 像 全面 系 统 诊断 、 系 统 还 原 设置 .浏览 器 修复 、 多 余 持 件 清除 ,插件 
免疫 .多 余 软件 卸载 ,各 种 历史 记录 清理 等 许多 实用 功能 。 拦 截 恶 意 钓 鱼网 站 , 防 网 银 账户 、 
游戏 账号 .QQ 账号 丢失 ;全面 查 杀 9000 余 款 流 行 木马 .370 款 流氓 软件 ;发 布 微软 官方 漏洞 
信息 、 修 复 系统 漏 洞 ,有 效 防止 蠕虫 流氓 软件 通过 漏洞 传播 。 


如 天 空 软件 站 版 360 安 全 卫士 y5.2 
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呈 W032: 尤 其 适合 笔记 本 使 用 的 杀毒 软件 
56 次 通过 YB100 权 威 认证 ,全 球 第 一 t 25 元 / 
半年 ， 折 合 每 月 公 4 元 。 


立即 抢购 


主 程序 版 本 : 5.2.0. 1020 木马 库 : 1.0.1.2830 网 址 库 : 1.0.0.1594 木马 库 、 网 址 库 已 经 是 最 新 版 本 


图 2-3 360 安全 卫士 主 界面 
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4) AVG Anti-Virus System 8.0 

AVG Anti-Virus System 8. 0 功能 上 相当 完整 ,可 即时 侦 测 任何 存 取 文件 ,防止 计算 机 
病毒 感染 ;可 对 电子 邮件 和 附加 文件 进行 扫描 ,防止 计算 机 病毒 透 过 电子 邮件 和 附加 文件 传 
播 ;在 “病毒 资料 库 ” 里 面 则 记录 了 一 些 计 算 机 病毒 的 特性 和 发 作 日 期 等 相关 资讯 ;“ 开 机 保 
护 ” 功 能 可 在 计算 机 开机 时 侦 测 开机 型 病毒 ,防止 开机 型 病毒 感染 。 在 扫 毒 方面 , 除 可 扫描 
磁盘 \ 人 硬盘、 光盘 机 外 ,也 可 对 网 络 磁 盘 进 行 扫描 。 在 扫描 时 也 可 只 对 磁盘 、 硬 盘 、 光 盘 机 上 
的 某 个 目录 进行 扫描 。 可 扫描 文件 型 病毒 ,压缩 文件 型 病毒 (可 感染 ZIP、.ARJ、RAR 等 压 
缩 文 件 ) 等 。 在 扫描 时 如 发 现 文 件 感染 病毒 时 ,会 将 感染 病毒 的 文件 隔离 至 AVG Virus 
Vault, 待 扫描 完成 后 再 一 并 解毒 。 

AVG Anti-Virus System 8.0 是 一 款 优秀 的 计算 机 病毒 和 木马 查 杀 软件 ,特别 是 它 的 
木马 查 杀 能 力 堪 称 一 流 。 笔 者 曾经 用 多 款 杀 毒 软件 做 对 比 测试 ,其 他 杀毒 软件 查 不 出 来 的 ， 
AVG 却 可 以 查 出 几 十 个 病毒 和 木马 ,而 且 还 修复 了 以 前 不 能 上 网 的 问题 。 不 过 它 最 大 的 
不 足 就 是 ,所 有 查 到 的 病毒 和 木马 只 能 在 整个 扫描 结束 后 统一 清除 ,如 果 中 途 退 出 扫描 , 则 
不 能 清除 任何 已 查 到 的 病毒 和 木马 .这 对 于 大 硬盘 扫描 的 情况 非常 不 利 。 

5) 趋势 科技 PC-Cillin Internet Security 2008 

趋势 科技 是 我 国 台湾 的 著名 杀 病 毒 软件 品牌 。PC-Cillin Internet Security 2008 是 目前 
正式 上 市 的 最 新 版 。 

趋势 科技 网 络 安全 个 人 版 集 个 人 防火 墙 、 防 病毒 、 防 垃圾 邮件 等 功能 于 一 体 , 最 大 限度 
地 提供 对 桌面 机 的 保护 ,但 并 不 需要 用 户 进 行 过 多 的 操作 。 在 用 户 日 常 使 用 及 上 网 浏览 时 ， 
进行 “实时 的 安全 防御 监控 ;内 置 的 防火 墙 不 仅 可 以 更 方便 地 使 用 因地制宜 的 设 定 ， 专 业 
主 控 式 个 人 防火 墙 ? 和 “木马 程序 损害 清除 还 原 技术 ”的 双重 保障 ,还 可 以 拒绝 各 类 黑客 程序 
对 计算 机 的 访问 请 求 ; 趋 势 科技 全 新 研发 的 病毒 阻隔 技术 ,包含 “主动 式 防毒 应 变 系统 ”和 
“病毒 扫描 逻辑 分 析 技 术 ”, 不 仅 能 够 精准 侦 测 病毒 藏匿 与 化 身 并 予以 彻底 清除 ,还 能 针对 特 
定 变 种 病毒 进行 封锁 与 阻隔 ,让 病毒 青 无 可 乘 之 机 ; 强 有 力 的 “垃圾 邮件 过 滤 功 能 "能 全 面 封 
锁 不 请 自 来 的 垃圾 邮件 。 

趋势 科技 的 反 病毒 产品 具有 良好 的 综合 性 优势 。 这 款 2008 版 继承 了 趋势 科技 的 传统 ， 
除了 在 用 户 界面 上 更 加 美观 之 外 ,同时 在 功能 上 不 断 细 化 ,使 之 更 加 人 性 化 。 

6) 小 红 人 鲍 AntiVir Personal Edition 8.2 

它 是 由 来 自 德国 著名 的 安全 软件 公司 H 十 BEDV 开发 的 。H 十 BEDYV 是 一 个 十 分 老牌 
的 公司 。 它 的 安全 产品 领域 覆盖 了 工作 站 、 服 务 器 .邮件 站 等 各 种 网 络 大 型 终端 。 

这 款 免 费 的 AntiVir 专 为 个 人 用 户 提供 ,可 免 受 计 算 机 病毒 的 侵害 。 它 可 以 检测 并 清 
除 超过 80 000 种 病毒 ,支持 在 线 更 新 。 如 果 想 使 用 免费 家 用 版 ,必须 具备 两 个 基本 的 条 件 : 
个 人 家 庭 用 户 与 非 营 利 性 质 。 

AntiVir Personal Edition 所 具备 的 防御 功能 包括 病毒 查 杀 、 即 时 更 新 、 病 毒 监控 ,病毒 
资料 查询 .日志 管理 .计划 任务 提醒 等 。 

其 查 杀 病毒 的 能 力 还 不 错 , 但 是 有 时 会 误 报 , 如 一 些 Java 脚本 计数 器 , 它 也 会 报告 为 病 
毒 , 有 时 觉得 很 讨厌 。 

到 技巧 : 杀毒 软件 的 选择 不 仅 看 其 查 杀 病毒 能 力 , 还 要 充分 考虑 其 所 消耗 的 系统 资源 
大 小 、 所 支持 的 操作 系统 (一 般 个 人 版 杀 病 毒 软件 仅 适用 于 工作 站 系统 ,如 金山 毒霸 .卡巴 斯 
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基 等 ,但 也 有 一 些 同时 适用 于 工作 站 和 服务 器 系统 ,如 瑞星 和 AVG 等 ). 误 报 率 ,以 及 在 查 
杀 病 毒 时 处 理 方式 的 灵活 性 等 方面 。 

另外 ,不 建议 在 一 台 主 机 上 安装 多 款 杀毒 软件 。 一 般 不 同 品牌 的 杀毒 软件 在 引擎 方面 
会 相互 冲突 。 


2. 网 络 版 杀毒 软件 


尽管 个 人 版 杀毒 软件 的 价格 很 便宜 ,而 且 功 能 也 很 强大 ,但 是 对 于 10 个 以 上 用 户 的 企 
业 网 络 来 说 ,建议 还 是 采用 网 络 版 杀毒 软件 。 网 络 版 杀毒 软件 的 一 个 最 大 特点 就 是 可 以 整 
个 网 络 主机 和 服务 器 同步 杀毒 ,这 对 于 网 络 病毒 横行 的 今天 来 说 尤其 重要 。 因 为 在 网 络 中 
只 要 有 一 台 主 机 感染 了 病毒 , 则 可 能 很 快 (甚至 是 同时 ) 在 全 网 络 主机 上 感染 ,即使 其 他 主机 
已 杀 完 了 病毒 。 这 样 一 来 其 他 主机 所 进行 的 杀毒 操作 就 前 功 尽 弃 了 。 

另外 ,网 络 版 可 以 实现 全 网 络 服务 器 和 客户 端 程序 同步 更 新 。 还 有 一 个 管理 中 心 控 制 
台 , 可 以 对 整个 网 络 的 服务 器 端 和 客户 端 程序 进行 集中 管理 ,实现 全 网 络 的 同步 更 新 和 杀 
毒 。 本 节 将 介绍 国内 三 大 著名 病毒 防护 软件 的 网 络 版 杀毒 软件 : 金山 的 金山 毒霸 网 络 版 
5.0, 江 民 杀 毒 软件 KV 网 络 版 2008 和 瑞星 杀毒 软件 网 络 版 2008。 除 此 之 外 ,还 有 国外 著 
名 的 品牌 ,如 俄罗斯 的 卡巴 斯 基 (Kaspersky)、 美 国 的 McAfee Virusscan 和 Symantec 
AntiVirus 等 都 有 网 络 版 。 

1) 金山 毒霸 网 络 版 5. 0 

金山 毒霸 网 络 版 是 一 套 专 为 企业 级 网 络 所 设计 的 全 网 病毒 防护 解决 方案 。 金 山 毒霸 网 
络 版 采用 了 业界 主流 的 B/S 开发 模式 ,由 管理 中 心 、 控 制 台 、 系 统 中 心 、 升 级 服务 器 、 客 户 
端 、 服 务 器 端 \ 特 殊 防 毒 节点 7 个 模块 组 成 了 防 病毒 体系 。 它 的 最 大 特点 就 是 体系 结构 配置 
灵活 ,应 用 部 署 和 管理 非常 方便 。 

2) 江 民 杀毒 软件 KV 网 络 版 2008 

江 民 杀毒 软件 KV 网 络 版 2008 是 为 各 种 简单 或 复杂 网 络 环境 设计 的 计算 机 病毒 网 络 
防护 系统 。 它 既 适 用 于 包含 若干 台 主 机 的 单一 网 段 网 络 , 也 适用 于 包含 各 种 Web 服务 器 、 
邮件 服务 器 .应 用 服务 器 , 且 分 布 在 不 同城 市 并 包含 数 十 万 台 主 机 的 超大 型 网 络 。 

2008 年 2 月 28 日 ,国内 最 大 的 计算 机 反 病 毒 软件 厂商 江 民 科技 宣布 ,即日 起 启动 “新 
春 剿 毒 大 行动 "。 在 这 次 行动 中 推出 可 适用 于 Windows、Linux、UNIX、FreeBSD 等 多 种 操 
作 系 统 的 网 络 版 杀毒 软件 “网 络 护 卫 舰 江 民 杀毒 软件 KV 网 络 版 2008”, 该 款 软件 无 论 
是 从 杀毒 能 力 上 还 是 网 络 管理 功能 上 都 取得 了 突破 性 的 进展 。 在 杀毒 技术 方面 , 江 民 杀毒 
软件 KV 网 络 版 2008 在 全 网 统一 杀毒 .统一 升级 ,统一 配置 和 全 网 漏洞 扫描 等 网 络 版 基本 
功能 上 ,独创 了 全 网 木马 监控 、 全 网 检测 未 知 病毒 .全 网 系统 启动 前 杀毒 (BootScan) 等 全 球 
领先 的 杀毒 技术 。 

另外 , 江 民 杀毒 软件 KV 网 络 版 2008 在 网 络 管理 上 更 取得 了 重大 进展 ,产品 采用 了 可 
无 限 分 层 的 多 级 控制 中 心 ,可 对 大 型 网 络 进行 分 级 ,可 跨 地 域 . 跨 网 段 布防 ,各 级 控制 中 心 对 
应 相应 层级 , 且 每 级 都 可 实现 对 下 级 单位 的 统一 管理 。 核 心 管理 权限 集中 在 控制 中 心 ,网 管 
员 通 过 账号 和 口令 获得 操作 授权 ;提供 多 种 客户 端 操 作 控制 模式 ,网 管 员 根 据 情况 给 予 统一 
或 者 区 别 授 权 。 同 时 ,为 了 减轻 网 管 员 的 劳动 强度 , 江 民 杀毒 软件 KV 网 络 版 2008 还 增强 
了 “移动 安全 网 管 ” 功 能 ,网 管 员 可 以 将 移动 控制 台 安装 在 任 一 移动 终端 中 ,随时 随地 实现 对 
公司 整个 网 络 的 智能 化 安全 管理 。 
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3) 瑞星 杀毒 软件 网 络 版 2008 

瑞星 杀毒 软件 网 络 版 2008 是 一 款 应 用 于 复杂 网 络 结构 的 企业 级 反 病 毒 产 品 。 它 分 中 
小 企业 版 ,企业 版 和 高 级 企业 版 ,以 及 行业 版 等 多 个 版 本 。 该 产品 主要 适用 于 企业 服务 器 与 
客户 端 ,支持 Windows NT/2000/XP/Server 2003、UNIX、Linux 等 多 种 操作 平台 ,全 面 满 
足 企业 整体 反 病毒 需要 。 

瑞星 杀毒 软件 网 络 版 2008 创立 并 实现 了 “分 布 处 理 、 集 中 控制 技术 ,以 系统 中 心 .服务 
器 客户 端 ,控制 台 为 核心 结构 ,成 功 地 实现 了 远程 自动 安装 、 远 程 集中 控 管 、 远 程 病毒 报警 、 
远程 印 载 . 远 程 配置 .智能 升级 .全 网 查 杀 日志 管 理 、 病 毒 溯源 等 功能 。 它 将 网 络 中 的 所 有 
计算 机 有 机 地 联系 在 一 起 ,构筑 成 协调 一 致 的 立体 防毒 体系 。 


2.3 部 署 企业 网 络 防 病 毒 系统 
2.3.1 Symantec NAV 10.1 企 业 版 概述 


Symantec NAV 10. 1 企业 版 是 Symantec 最 新 推出 的 防 病毒 软件 ,用 于 企业 内 部 网 内 
的 计算 机 防 病毒 ,与 单机 版 (一 般 个 人 用 户 只 安装 客户 端 ,作用 与 个 人 版 软件 功能 差不多 ) 相 
比 ,企业 版 系统 增加 了 网 络 管理 功能 ,如 病毒 码 的 统一 更 新 、 防 病毒 策略 的 统一 制定 ,发现 病 
毒 的 网 络 报警 等 ,这 些 网 络 管理 功能 大 大 减轻 了 网 络 管理 员 的 无 谓 的 工作 量 。 

Symantec NAV 10. 1 企业 版 在 原 有 版 本 上 做 了 很 大 的 改进 ,删除 了 其 中 很 多 不 实用 的 
组 件 。 整 个 光盘 的 大 小 不 到 300MB, 比 原 有 老 版 本 小 了 很 多 。 


2.3.2 Symantec NAV 10.1 部 署 过 程 


按照 如 图 2-4 所 示 搭 建 网 络 , Symantec 的 一 级 服务 器 安装 在 域 控 制 器 (建议 用 
Windows Server 2003 构建 )ATEN-01 上 ,客户 端 可 以 是 Windows Server 2003、Windows 
XP 或 Windows 2000。 


( 城 近 条 小 六 01) 


ee 


We a 
Windows Server 2003 Ww Ro XP Wi sy 2000 


图 2-4 Symantec 企业 网 络 防 病毒 系统 


1. 安装 Symantec 系统 中 心 


(1) 将 Symantec NAV 10.1 的 安装 光盘 放 入 域 控制 器 的 光驱 ,运行 光盘 上 Setup. exe 
程序 ,将 出 现 Symantec 的 主 菜单 ,如 图 2-5 所 示 。 
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Symantec AntiVirus 


请 先 阅 读 此 内 容 
提供 指向 目 述 文件、 文档 ， 孝 程 和 支 持 信 息 的 适 接 。 


安装 Symantec Antiyirus 
安装 病 珊 防护 、 阁 理 和 报 尖刀 件 。 


图 2-5 Symantec 主 菜单 


(2) 选择 【安装 Symantec AntiVirus】 选 项 ,将 出 现 如 图 2-6 所 示 的 窗口 ,在 此 窗口 中 选 

择 [安装 Symantec 系统 中 心 】 选 项 。 
CEI 
Symantec AntiVirus 


安装 Symantec 系统 中 心 

随 防 病毒 理由 件 一 起 安装 管理 控制 
安装 Symantec AntiVirus 
Rn 


安装 报告 服务 器 
安装 用 于 生成 报告 和 也 置 区 迫 的 各 再 组 件 。 


安装 Symantec AntiVirus 


图 2-6 【安装 Symantec AntiVirus】 菜 单 


(3) 在 出 现 的 【授权 许可 协议 对 话 框 中 ,选择 [我 接受 该 许可 证 协议 中 的 条 款 】 选 项 , 单 
击 【 下 一 步 ] 按 钮 ,如 图 2-7 所 示 。 
(4) 在 【选择 组 件 ] 对 话 框 中 选择 安装 的 组 件 ,如 图 2-8 所 示 。 默 认可 选 的 管理 组 件 如 下 。 


InstallShield 疹 学 
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Ep 加 果 复 达 框 


FF Symatec yem Center 文件 (过 
Symantec Corporation( 赛 门 铁 克 公司 ) 和 ( 或 ) 其 子 公司 ( 以 下 称 i 《 赛 
| 门 纳 克 ) ” ) 许可 阁下 个 人 、 公 司 或 法 津 实体 ( 以 下 沸 称 为 “ 疼 下 ”) 使 用 本 软 1 
| 条 件 是 疼 下 必须 接受 本 话 可 协议 的 全 部 条 款 。 光正 和 人 之 可 


re er 打开 包装 盒 、 抉 拉 标 
“同意 ”或 各 键 或 者 通过 其 它 电子 方式 表示 同意 、 党 表示 阁 


协议 的 条 款 和 条 件 .车 | 
| 人 并 不 再 使 用 本 软件 。 


格 下 不 同意 上 还 条 蒜 条件， 请 点 击 “ 我 不 同意 ”或 


[3 
ts© [CR] ww | 
图 2-7 ”授权 许可 协议 图 2-8 选择 组 件 


Thad 
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Q@ Symantec AntiVirus 管理 单元 : 如 果 要 集中 管理 病毒 防护 ,必须 安装 该 项 对 应 内 容 。 

Q@ Symantec Client Firewall 管理 单元 : 不 是 防 病毒 管理 所 必需 的 组 件 , 仅 适用 于 防火 
墙 客户 端 管理 。 

@ AV 服务 器 分 装 工具 : 要 将 服务 器 安装 推送 到 远程 计算 机 ,必须 安装 它 。 在 
Symantec AntiVirus 光盘 上 可 以 找到 此 工具 。 

@ 客户 端 远程 安装 工具 : 要 将 Symantec AntiVirus 客户 端 安装 推送 到 运行 受 支 持 的 
Microsoft Windows 操作 系统 的 远程 计算 机 上 ,必须 安装 它 。 在 Symantec AntiVirus 光盘 
上 可 以 找到 此 工具 。 

@ Symantec AntiVirus 服务 器 : 要 管理 运行 Symantec AntiVirus 客户 端 程序 的 联网 
计算 机 ,必须 安装 它 。 它 还 为 运行 它 的 计算 机 提供 病毒 防护 。 该 服务 器 程序 允许 用 户 将 防 
病毒 安全 策略 和 内 容 更 新 推送 到 接受 管理 的 客户 端 。 要 保护 Symantec AntiVirus 网 络 服 
务 器 ,应 安装 Symantec AntiVirus 客户 端 程序 。 

(5) 在 【目标 文件 夹 ] 对 话 框 中 , 单 击 【更 改 ] 按 钮 ,可 以 更 改 程序 安装 的 位 置 , 如 图 2-9 
所 示 。 

(6) 在 【准备 安装 程序 ] 对 话 框 中 , 单 击 【安装 了 按钮 , 即 开始 安装 ,如 图 2-10 所 示 。 


3 Systee Center - InstallShield 疝 本 | Syaantee Systen Center - InstallShield 过 | 
目 Ea 礁 备 安装 程序 9 
nd ok 2 antec, 
East Bhd err 
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一 Symantec 文件 安装 到 | 下 面 指定 的 文件 夷 中 。 要 安装 到 如 果 要 查看 或 更 改 安装 设置 ， | 
re 和 单 击 "上 一 步 。 单 击 " 取 滑 " 忆 退出 向 导 
Ci\Progron Files\Symantec\Symantec Systen Center\ 
OD... 
Tnstalshield Te 
二 -sg TBE we | ts® [Rw | 
图 2-9 选择 目标 文件 夹 图 2-10 准备 安装 程序 


(7) 程序 安装 完毕 后 ,弹出 【安装 程序 信息 】 对 话 框 , 单 击 【 是 按钮 ,将 重新 启动 计算 机 
系统 ,如 图 2-11 所 示 。 


站 smantec Systen Center 安装 程序 信息 es| 
2. 部 署 Symantec 服务 器 和 下 本 于 全 的 
上 生计 生生 过 计 尖 
安装 Symantec 服务 器 有 两 种 方法 : 一 方式 启动 。 
在 安装 光盘 的 安装 菜单 中 选择 【安装 
Symantec AntiVirus 服务 器 】 ,如 图 2-12 所 示 ; [于 | 
二 是 在 Symantec 系统 中 心 控制 台中 安装 。 在 
此 将 介绍 第 二 种 安装 方法 。 


(1) 选择 [开始 MISymantec 系统 中 心 控制 台 ] 命 令 , 如 图 2-13 所 示 。 


图 2-11 重新 启动 系统 
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将 病毒 防 扩 安 半 列 管理 服务 


” 安 概 报 寺 服务 器 
Emer. 


安 六 Symantec hotiVirus 客户 满 
。 构 所 吉 防 护 安装 到 客户 济 


ee pa -一 cr 


上 返回 主 痫 


E22 hd reetery 用 P 和 


有 程序 ， 


加 评 D 回 站 中 


图 2-12 安装 Symantec AntiVirus 服务 器 图 2-13 选择 [Symantec 系统 中 心 控制 台 ]】 命 令 


(2) 在 打开 的 【Symantec 系统 中 心 控 制 台 窗口 中 ,选择 [工具 YA【 防 病毒 服务 器 分 装 】 
命令 ,如 图 2-14 所 示 。 
(3) 在 弹出 的 [欢迎 ] 对 话 框 中 ,选择 【安装 Symantec AntiVirus 服务 器 】 ,然后 单 击 【下 
- 步 ] 按 钮 ,如 图 2-15 所 示 。 
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ost\Syesatec Systen Es 


如 收藏 天 Q) | 工具 I) 官 口 WD) 得 助 加。 | =|@jxl 


六) 
‘ae System Center Spe 系统 中 和 项 ) 请 选择 失 作 。 
人 ts 系 纺 中 心 控制 和 进项 ) 
处 过 服务 0 FP 


基 服务 与 二 Re 
7/ 人 课 。 更 新 Symuntee AntiViras 服务 器 中) 


en 
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让 Tinie | 取消 
图 2-14 ”选择 [ 防 病毒 服务 器 分 装 ] 命 令 图 2-15 【欢迎 对话 框 


(4) 在 [许可 协议 3 对 话 框 中 ,选择 [同意 障 选 按钮 .然后 单 击 [ 下 一 步 按 钮 ,如 图 2-16 所 示 。 
(5) 在 [选择 项 目 ] 对 话 框 中 ,选中 [服务 器 程序 ] 和 【报告 代理 ] 复 选 框 , 单 击 [ 下 一 步 3 按 
钮 ,如 图 2-17 所 示 。 


许可 协议 Ed| 选择 项 目 到 | 
于 和 振 要 安装 的 项 目 。 
9 EE 的 200 吧 
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您 是 否 同意 上 面 Symantec 许可 协议 的 条 蒜 ? 多 


个 间 管 列 个 不 同意 


了 到 
图 2-16 【许可 协议 对 话 框 图 2-17 选择 安装 项 目 
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(6) 在 【选择 计算 机 对 话 框 左边 的 5 网络 ] 列 表 框 中 ,选择 安装 Symantec 服务 器 的 计算 
机 ,然后 单 击 [添加 了 按钮 ,将 选择 的 计算 机 添加 到 右边 的 [目标 计算 机 了 列表 框 中 , 单 击 【[ 下 一 
步 ] 按 钮 ,如 图 2-18 所 示 。 

(7) 在 【服务 器 摘要 对 话 框 中 , 单 击 【 更 改 目录 按钮 ,可 以 更 改 程序 安装 的 位 置 , 单 击 
【下 一 步 ] 按 钮 ,如 图 2-19 所 示 。 


中 EA 
从 和 的 对 于 a TH 
目标 寺 复 机 0) 


Ci\progran files\sav 


到 


更 改 目录 ( 亿 ) 
| Cw | 
图 2-18 【选择 计算 机 3 对话 框 图 2-19 选择 安装 路 径 


(8) 在 如 图 2-20 所 示 的 【Symantec AntiVirus 服务 器 组 ] 文 本 框 中 输入 服务 器 组 的 
名 称 。 

(9) 在 【输入 服务 器 组 的 密码 ] 对 话 框 中 ,输入 用 户 名 和 密码 , 单 击 【确定 ] 按 钮 ,如 
图 2-21 所 示 。 


人 0 习 
二 RS 服务 吕 姐 GE) 钥 各 称 ; Cw ] 
匀 mm 外 Fn mm | 
本 te 
辐 9 ee 1 是 新 服务 器 组 


ET so | 
sw [TBD mn | 
图 2-20 服务 器 组 名 称 图 2-21 输入 服务 器 组 的 用 户 名 和 密码 


人 


(10) 在 【服务 器 启动 选项 对话 框 中 ,选择 [自动 启动 3 单 选 按钮 , 单 击 【下 一 步 ] 按 钮 ,如 
图 2-22 所 示 。 

(11) 在 【使 用 “Symantec 系统 中 心 ? 程 序 ] 对 话 框 中 , 单 击 【下 一 步 ] 按 钮 ,如 图 2-23 
所 示 。 

(12) 在 【安装 概要 】 对 话 框 中 , 单 击 【 完 成 3 按钮 ,如 图 2-24 所 示 。 

(13) 在 【安装 进度 】 对 话 框 中 ,安装 完成 之 后 , 单 击 【关闭 按钮 ,如 图 2-25 所 示 。 
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图 2-22 选择 服务 器 程序 的 运行 方式 图 2-23 ”提示 使 用 "Symantec 系统 中 心 ” 程 序 
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Mac Antiyirus 全 业 版 "时 ， 示 将 在 以 下 每 一 各 计算 机 上 修改 Symantec AntiVirus 歌 件 。 
ant iVirus 4 
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%| 
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图 2-24 【安装 概要 】 对 话 框 图 2-25 【安装 进度 ] 对 话 框 
(14) 计算 机 系统 重新 启动 之 后 ,参考 步骤 (1) 打 开 【Symantec 系统 中 心 控制 台 ] 窗 口 。 


右 击 服务 器 组 名 称 (例如 Symantec AntiVirus 1) ,在 弹出 的 菜单 中 选择 【解除 服务 器 组 的 锁 
定 ] 命 令 , 如 图 2-26 所 示 。 


S _Center - [Console Root\Symantec Systes CEREEEA 基 的 
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ee 此 视图 中 没有 可 星 示 的 项 目 。 
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配置 登录 证 书 设置 DJ 


查看 人 |, 


肪 入 用 户 名 和 密码 ,以 打开 服务 器 组 。 


图 2-26 解除 服务 器 组 的 锁定 
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(15) 在 [解除 服务 器 组 的 锁定 ] 对 话 框 中 输 | 
入 用 户 名 称 和 密码 ,如 果 不 想 每 次 启动 时 都 输入 “| 辐 完 0 
用 户 名 和 密码 ,可 以 选中 [请 记 住 此 用 户 名 和 密 ，|geBa Swel D2 


码 ] 复 选 框 ,然后 单 击 【确定 】 按 钮 ,如 图 2-27 em [= 
了 ee 
所 示 。 人 


厂 请 记 住 此 用 户 名 和 密码 。 
(16) 在 【Symantec 系统 中 心 控制 台 ] 窗 口 右 广 请 天 纺 中 心 启动 里 动 这 多 名 粗 


击 服务 器 名 称 (例如 ATEN-01) ,在 弹出 的 快捷 
菜单 中 选择 [使 服务 器 成 为 一 级 服务 器 ] 命 令 ,如 国光 人 7 -的 用 用 和 和 宣王 
图 2-28 所 示 。 


‘Tn Symantec Systee Center - [Console Root\Syuantecl Sy te Ct 


Console Root 
日 亡 Symantee System Center 
日 制 东 统 等 级 
日 仿 Smantee AntiVirus 1 
由 重组 


此 视图 中 没有 可 显示 的 项 目 。 


图 2-28 使 服务 器 成 为 一 级 服务 器 


(17) 在 【是 否 要 继续 对 话 框 中 单 击 【 是 了 按钮 ,如 图 2-29 所 示 。 


， 务 器 的 信息 传 
BS lint ER A 


EE sv | 


图 2-29 确认 是 否 要 使 服务 器 成 为 一 级 服务 器 


3. 安装 LiveUpdate 管理 实用 工具 


(1) 在 Symantec 主 菜单 上 选择 【安装 其 他 管理 员工 具 ] 命 令 , 如 图 2-30 所 示 。 

(2) 在 【安装 其 他 管理 员工 具 ] 菜 单 上 选择 【安装 LiveUpdate Administrator】 命 令 ,如 
图 2-31 所 示 。 

(3) 在 【选择 目标 位 置 〗 对 话 框 中 ,选择 程序 安装 目标 文件 夹 , 如 图 2-32 所 示 。 

(4) 在 【安装 完毕 ] 对 话 框 中 , 单 击 【 完 成 ] 按 钮 ,如 图 2-33 所 示 。 
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图 2-30 Symantec 主 菜单 


图 2-31 选择 [安装 LiveUpdate Administrator] 命 令 
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图 2-32 ”选择 安装 目标 位 置 图 2-33 ”安装 完毕 


4. 安装 中 央 隔 离 区 服务 器 
(1) 在 [安装 其 他 管理 员工 具 ] 衣 单 上 选择 [安装 中 央 隔 离 区 服务 器 3 命令 ,如 图 2-34 所 示 


Ee AntiVirus 


安装 a Adninistrator 


安装 中 央 隔离 区 服务 器 
站 用 于 存 衣 卫 高 文件 的 中 央 让 全 库 - 


安装 中 央 隔离 区 控制 


各 
安装 用 于 集中 管理 情 语 文件 的 管理 控制 台 组 件 。 


图 2-34 ”选择 [安装 中 央 隔 离 区 服务 器 命令 


(2) 在 【授权 许可 协议 对 话 框 中 ,选择 [我 接受 该 许可 证 协议 中 的 条 款 了 单 选 按钮 , 单 击 
【下 一 步 ] 按 钮 ,如 图 2-35 所 示 。 


(3) 在 [目标 文件 夹 ] 对 话 框 中 , 单 击 【更 改 ] 按 钮 .可 以 更 改 程序 安装 的 位 置 , 单 击 【 下 一 


步 ] 按 钮 ,如 图 2-36 所 示 。 
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图 2-35 授权 许可 协议 图 2-36 ”选择 安装 目标 文件 夹 


(4) 在 [安装 类 型 ] 对 话 框 中 ,选择 [基于 Internet( 推 荐 )] 单 选 按钮 , 单 击 [下 一 步 ] 按 钮 ， 
如 图 2-37 所 示 。 

(5) 在 【最 大 磁盘 空间 对 话 框 中 输入 提供 给 隔离 区 的 最 大 磁盘 空间 (例如 400), 单 击 
【下 一 步 ] 按 钮 ,如 图 2-38 所 示 。 
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图 2-37 选择 安装 类 型 图 2-38 输入 最 大 磁盘 空间 


(6) 在 【联系 信息 对 话 框 中 输入 相关 信息 , 单 击 [下 一 步 ] 按 钮 ,如 图 2-39 所 示 。 

(7) 在 [Web 通信】 对话 框 中 输入 网 关 名 称 ,可 以 选择 默认 值 .然后 单 击 【 下 一 步 3 按 钮 ， 
如 图 2-40 所 示 。 

(8) 在 【警报 配置 ] 对 话 框 中 ,选中 [启用 警报 ] 复 选 框 ,在 服务 器 名 称 的 文本 框 中 输入 服 
务 器 名 称 (例如 ATEN-01) , 单 击 [ 下 一 步 ] 按 钮 ,如 图 2-41 所 示 。 

(9) 在 【InstallShield 向 导 完 成 3】 对话 框 单 击 【完成 按钮 ,如 图 2-42 所 示 。 


5. 安装 中 央 隔 离 区 控制 台 


在 【安装 其 他 管理 员工 具 ] 菜 单 中 选择 [安装 中 央 隔 离 区 控制 台 ] 命 令 , 如 图 2-43 所 示 。 
整个 部 署 过 程 比 较 简单 ,按照 向 导 提 示 ,选择 默认 值 即 可 。 
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帐号 enooT 
联系 人 姓名 : evn BSN: es 
联系 人 电话 号 码 ; [EX 
联系 人 电子 邮件 地 址 ; rameracmn | 
厅 S15He nstalstteld 
ww | -se® [FB] | 
图 2-39 输入 联系 信息 图 2-40 输入 网 关 名 称 
ver - InstallShield 疝 导 Xx| 间 Server - InstallShield 向 导 
警报 配置 Installshield 向 导 完成 
请 在 下 面 提供 信息 。 BB Symantec- 
， 请 启用 警报 并 在 下 面 指定 -Alert| 《 已 和 成 功 rver 安装 
到 人 本 请 局 | Management _ we 
启用 区 报 人 
AM5 服务 器 名 称 ; CE 


Instalspleld 


图 2-41 警报 配置 


Symantec' AntiVirus 


安装 LiveUpdate Adninistrator 
wes 


| 
| 


安装 中 央 隔离 区 控制 台 
安装 用 于 梨 中 管理 卫 训 文件 的 关 理 控制 台 组 件 . 


图 2-43 ”选择 [安装 中 央 隔 离 区 控制 台 ] 命 令 


6. 部 署 Symantec 客户 端 程序 


利用 “客户 端 远 程 安装 ”工具 就 可 以 在 知道 Windows 2000/XP/Server 2003 系统 管理 
员 密 码 的 基础 上 给 这 些 系统 远程 安装 NAV 10. 1 的 受 管理 的 防 病毒 客户 端 ,以 及 受 管理 的 
防 病毒 客户 端的 病毒 码 升级 ,管理 策略 可 以 由 服务 器 统一 管理 。 客 户 端的 安装 还 可 以 用 


GD 
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Web 安装 、 从 防 病毒 服务 器 共享 目录 安装 、 安 装 时 选择 【 受 管理 的 ] 安 装 方式 等 多 种 安装 方 
法 。 在 此 ,以 利用 “客户 端 远程 安装 "工具 为 例 , 介 绍 Symantec 客户 端 程序 的 安装 。 

(1) 在 [Symantec 系统 中 心 控制 台 ] 窗 口 ,选择 [工具 MA【 客 户 端 远程 安装 命令 ,如 
图 2-44 所 示 。 


Th Smantec Systen Center - [Console Root\Synantee Systen Care soi | 


箭 文件 加 加 作 册 查看 WW 收 若 夫 0) | 工具 窗口 和 于 助 0 
中 消 | 央 | 加 | 寞 | 贸 日 刀 | 岛 轩 a 
Console Root 
i ee i Center 防 病毒 服务 器 分 装 
日 者 系 续 人 
Ca Antiyirus 1 搜索 服务 
和 由 回 息 


BB ATEN-OL 
目 smantee 中 央 隔 离 区 (本 
报告 


| 服务 与 支持 


划 
| 局 动 向 导 来 入 AV 页 客户 靖 安 装 到 页 服务 器 。 


图 2-44 选择 [客户 端 远程 安 装 了 命令 


(2) 在 【选择 安装 来 源 的 位 置 ] 对 话 框 中 选择 [默认 位 置 单 选 按钮 , 单 击 【 下 一 步 3 按 钮 ， 
如 图 2-45 所 示 。 

(3) 在 【选择 计算 机 】 对 话 框 的 右边 选择 服务 器 (例如 ATEN-01) ,在 左边 选择 可 用 的 客 
户 机 (例如 Pro_a、Xp-a 等 ) , 单 击 [添加 了 按钮 ,将 客户 机 添加 到 右边 的 列表 框 , 然 后 单 击 【 完 
成 按钮 ,如 图 2-46 所 示 。 


选择 安装 来 源 的 位 置 EE:| 


0 
Ms 
i 
六 上 。 


Client Security 客户 | 


到 
ee 


可 用 计算 机 CC) Symantec hntiyirus 服务 器 
Of Microsoft terminal serv BE symantec AntiVires 1 
ATEN-OL 


Dns_serverl 
res 


< 


A 
* 一 看 四 - 人 5 阶 面 
Fc sect | 
= 补丁 程序 文件 位 置 : Se 


Fe 户 二 
图 2-45 选择 安装 来 源 的 位 置 图 2-46 选择 计算 机 


(4) 在 【远程 客户 端 安装 的 状态 3 对 话 框 中 , 单 击 [ 完 成] 按钮 ,如 图 2-47 所 示 。 
2.3.3 设置 Symantec 控制 台 


Symantec 服务 器 的 主要 管理 功能 有 如 下 几 个 方面 。 
(1) 系统 补丁 的 安装 。Symantec 服务 器 与 客户 机 通过 微软 的 官方 网 站 下 载 补丁 ,在 企 
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FEEEEREEEERE 调 


图 2-47 远程 客户 端 安装 的 状态 


业内 部 可 以 通过 SUS(Windows Server Update Service, Windows 更 新 服务 ) 实 现 补丁 的 自 
动 安装 。 

(2) 部 署 防 病毒 策略 。 设 定 发 现 病毒 时 的 处 理 办 法 ,防止 客户 端 删除 防 病毒 程序 ,定期 
自动 扫描 客户 端 ,防止 客户 端 关闭 实时 防护 等 。 

(3) 病毒 码 更 新 。 自 动 更 新 或 手动 更 新 ,客户 端的 病毒 码 会 随 着 Symantec 服务 器 的 病 
毒 码 的 升级 而 自动 升级 。 


1. 部 署 LiveUpdate 更 新 


(1) 在 [Symantec 系统 中 心 控制 台 ] 窗 口 . 右 击 Symantec 服务 器 (ATEN-01) ,在 弹出 的 
菜单 中 选择 【所 有 任务 】 人 [LiveUpdate 了 人 配置 命令 ,如 图 2-48 所 示 。 


和 Symantec System Center - [Console Root\Symantec Systea Ca 


侈 文件 8) 操作 查看 收藏 丈 Q) 工具 C) 窗口 和 ) 和 助 [lalx 
个 少 | 和 | 加 |% 昌 |X 办 日 刀 | 久 田 | 岂 弥合 裔 | 及 I 且 易 国 个 


Console Root 
日 他 symantec Systen Center 
日 -者 系统 等 级 
日 Smantec MntiVirus 1 
各 组 


此 视图 中 没有 可 显示 的 项 目 。 


报 汗 使 服务 器 成 为 一 级 服务 器 | 


i ET ， 


报告 本 置 + 
加 Symantec Client 了 irewall 上 

口 
| 让 
Symantec AntiVirus » 


图 2-48 配置 LiveUpdate 


(2) 在 LiveUpdate 选项 卡 中 .可 以 配置 LiveUpdate 源 的 参数 ,建议 选择 默认 值 ,如 


图 2-49 所 示 。 
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(3) 在 【LiveUpdate 管理 员 】 选 项 卡 中 ,可 以 配置 LiveUpdate 包 检 索 的 频率 和 时 间 , 然 


后 单 击 【确定 按钮 ,如 图 2-50 所 示 。 
到 到 
Livelpdate | Liveupaate 管理 员 | LiveUpdate Livelpdate 管理 员 | 
选择 ATEN-01 的 LiveUpdate 源 : LiveUpdate 管理 员 将 根据 以 下 安排 检索 LiveUpdate 包 。 
一 Bmanteec Livelpdate 服务 自信 一 一 一 一 一 一 一 一 一 
LiveUpdate 将 从 Symantec 服务 器 获取 更 新 。 F valpite 可 的 构 案 安 捧 
让 个 Internal Livelpdate 服务 器 四 一 一 一 一 一 一 一 一 一 频率 时 间 : 
eh 回 eeul 0 | 6 每 天 四 ) 每 天 的 : 9:15:00 二 
名 称 中: 名 称 吧 ) 个 每 周 人 如 每 周 的 : 星期 日 
i - 
全 器 : 和 广 每 月 中) 每 月 的 : 习 
I 安排 的 最 近 一 次 LiveUpdate 包 检索 : 
[这 接 FRR 
WRL 或 IP 地址): 类 型 四) 
| ER | ae | 景 近 一 次 LiveUpdate 包 检索 的 状态 : 
子 网 @): 子 网 掩 码 多 ; | 
[es | 
隐 以 加 宫 形 式 存 储 哮 码 人 E) 


人 将 设置 应 用 于 不 在 客户 端 组 中 的 客户 端 (C)。 


取消 应 用 而 | 。 帮助 


图 2-49 LiveUpdate 选项 卡 图 2-50 【LiveUpdate 管理 员 】 选 项 卡 


2. 定义 病毒 库 更 新 策略 


(1) 在 [Symantec 系统 中 心 控制 台 】 窗 口 , 右 击 Symantec 服务 器 (ATEN-01) ,在 弹出 的 
菜单 中 选择 [所 有 任务 】] 人 Symantec AntiVirus【 病 毒 定义 管理 器 命令 ,如 图 2-51 所 示 。 


和 Symantec System Center - [Console RootVSywantec Systesn Center\R 扩 等 WS 0 


移 文件 四 “操作 QQ) 查看 W) 收 诚 天 @) 工具 CD) 窗口 Q) 帮助 0 |=18)xl 
+ 小 | 外 | 四 |% 章 |XX 辐 旧 世 | 岛 田 || 各 多 信 前 |A 久 可 国 易 国人 @ 

Console Root 

日 部 Symantee Systen Center 


日 砷 系 统 等 级 
日 多 Smantec AntiVirus 


此 视图 中 没有 可 显示 的 项 目 。 


LiveUpdate ，_B 志 
及 名 与 持 【ES 报 上 所 和 ，。 开始 病毒 清除 
MaRS Qin Fir ， Ta 


Symantec 端点 遵从 上 
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BPE 

(2) 在 【病毒 定义 管理 器 了 对 话 框 中 , 单 击 [只 更 新 此 服务 器 组 中 的 一 级 服务 器 了 布 侧 的 [ 配 
置 3 按 钮 ,在 打开 的 [设置 一 级 服务 器 更 新 〗» 对 话 框 中 选中 [调度 自动 更 新 ] 复 选 框 , 单 击 【调度 】 
按钮 ,配置 调度 参数 (如 更 新 的 频率 和 时 间 等 ), 然 后 单 击 【 确 定 ] 按 钮 ,如 图 2-52 所 示 。 

(3) 在 【病毒 定义 管理 器 】 对 话 框 中 ,选中 【从 父 服务 器 更 新 病毒 定义 ] 复 选 框 ,然后 单 击 
此 项 右边 的 [设置 按钮 ;在 打开 的 【更 新 设置 对话 框 中 设置 检查 更 新 的 时 间 间 隔 ( 例 如 
60 分 钟 ) ,然后 两 次 单 击 【确定 了 按钮 ,如 图 2-53 所 示 。 


=<ATEE-D1r 病 志 定义 管 玫 强 


“ATEN-01” 病 表 定义 管理 于 


三 服务 器 检索 病毒 定义 更 新 的 方法 一 一 一 三 服 务 器 检索 病毒 定义 更 新 的 方法 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
个 只 更 新 此 服务 器 组 中 的 一 绍 服 务 器 0D) 配置 | 人 只 更 新 此 服务 器 组 中 的 一 级 服务 器 WD 配置 
De 服务 器 姐 中 的 所 有 服务 器 将 自动 从 一 令 服务 器 更 新 病毒 定 
- 更 新 设置 x 
一 女 服务 器 : ATEN-01 配置 更 新 设置 [| 
二 一 公 怀 务 吕 更 新 | 检查 更 新 的 时 间 问 晤 0) 取消 
jo 开始 更 新 0) 后 习 人 Nh(1,440 分 钟 = 1 天) —- 
| 当前 版 本 : 2009-9-12 rev 2 DAY) 定义 文件 四) 上 eal 
客户 ”更 新 源 : LiveVpdate FT 三 客 尸 端 检 索 病毒 定义 更 新 的 方法 

选 指 [El 选择 : ATEN-01 的 客户 端 (不 在 服务 器 组 中 ) 

反 ， 打 调度 自动 更 新 A) 捷 从 父 服务 器 更 新 病毒 定义 企 ) 设置 全) 


en 厂 使 用 LiveUpdate 安排 客户 端的 自动 更 新 (L) 
RI 7 Jon | 
厂 启用 持续 进行 LiveVpdate 到 )《 仅 Windovs) 配置 作 ) | 


I 卫 不 郊 计 客户 弦 修 双 LiveUpdate 调度 QD) 
Bl | | 反 不 化 许 客 户 入 手动 B 动 Livelpaste tl) 

厂 启用 持续 进行 LiveuUpdate 到 ) ( 厂 启用 持续 进行 LiveVpdate 到 ) 配置 吕 ) 
所 利用 ivepaate 下 载 产品 更 新 加 所 列 用 Livetpaste 下 载 关 吕 更 新 加 


确定 | 取消 帮助 | 确定 取消 才 助 


图 2-52 设置 一 级 服务 器 的 更 新 时 间 图 2-53 设置 客户 端的 更 新 时 间 


3. 设置 服务 器 和 客户 端 定时 扫描 的 策略 


(1) 在 【Symantec 系统 中 心 控制 台 ] 窗 口 . 右 击 Symantec 服务 器 (ATEN-01) ,在 弹出 的 
菜单 中 选择 【所 有 任务 】〗/Symantec AntiVirus/【 调 度 扫 描 ] 命 令 , 如 图 2-54 所 示 。 


PE ec ole Root\Syeentec Systen Center\ 示 著 等 大 NSTARGGGRS 0 
色 如 Ca 查看 中 FT 工具 中 窗口 WD 表 助 世 |=lelx 
A EL ET EEEEEY 


加 console Root 
时 Re ee 此 视图 中 设 有 可 显示 的 项 目 。 


MS 本 
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» 


内 所 服务 器 姐 、 了 服务器 或 专 户 六 设 轩 滑 度 扫 撕 而 
图 2-54 调度 病毒 扫描 


gy 


< 
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网 络 安全 技术 案例 教程 


(2) 在 【调度 扫描 对 话 框 中 打开 【服务 器 扫描 选项 卡 , 单 击 【新 建 ] 按 钮 ,在 [ATEN-01 
调度 扫描 对话 框 中 设置 服务 器 扫描 参数 , 单 击 【确定 了 按钮 ,如 图 2-55 所 示 。 

(3) 打开 [客户 端 扫 描 】 选 项 卡 , 按 上 述 方法 创建 客户 端 扫描 调度 ,最 后 单 击 【 确 定 ] 按 
钮 ,如 图 2-56 所 示 。 


四 局 
最 务 器 扫描 a 服务 器 扫 拓 {和 北 尼 
Symantec AntiVirus 可 以 自动 运行 调度 扫描 。 单 击 “ 新 建 ”以 创建 调 度 | 了 和 tiyirus 可 以 目 动 运行 调度 扫描 。 单 击 “新建 ”以 创建 调度 
EE 
客户 弟 扫 描 C5) : 
EE 
加 管理 名 招 六 每 天 12:00 扫 搓 
新 建 串 | 入 各 四。 | 着) | 开 好 扫 六 吕 ) 


图 2-55 创建 服务 器 扫描 图 2-56 创建 客户 端 扫描 


4. 设置 隔离 区 选项 


(1) 在 【Symantec 系统 中 心 控 制 台 窗口 , 右 击 Symantec 服务 器 (ATEN-01) ,在 弹出 的 
菜单 中 选择 【所 有 任务 ]/Symantec AntiVirus 伙 隔离 区 选项 命令 ,如 图 2-57 所 示 。 
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EE ETT EEE ERE 
EE Root 
smntee Systen Center 二 
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图 2-57 隔离 区 选项 


(2) 在 【隔离 区 选项 对话 框 中 配置 端口 重 试 , 协 议 等 相关 参数 ,然后 单 击 【 确 定 ] 按 钮 ， 
如 图 2-58 所 示 。 

(3) 在 【Symantec 系统 中 心 控制 台 ] 和 窗口 , 右 击 【Symantec 中 央 隔 离 区 】, 在 弹出 的 菜单 
中 选择 [附加 到 服务 器 3 命令 ,如 图 2-59 所 示 。 
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厅 对 不 属于 组 的 客户 端 应 用 设置 ) 


rn 区 动 | | 辣 一 


图 2-58 【隔离 区 选项 ] 对 话 框 图 2-59 Symantec 中 央 隔 离 区 附加 到 服务 器 


(4) 在 【选择 计算 机 3 对话 框 中 选择 【本 计算 机 了 单 选 按钮 , 单 击 【完成 了 按钮 ,如 图 2-60 
所 示 。 


(5) 在 【附加 到 隔离 区 服务 器 对 话 框 中 输入 服务 器 的 名 称 , 单 击 [ 确 定 了 按钮 ,如 图 2-61 
所 示 。 
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过 择 安 站 了 要 使 用 计 和 理 单元 进行 和 理 的 卫 训 区 服务 基 的 计算 机 。 
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图 2-60 选择 [本 计算 机 了 图 2-61 输入 服务 器 名 称 


2.3.4 Symantec 网 络 防 病毒 系统 应 用 


Symantec 网 络 防 病毒 系统 部 署 完 成 后 ,可 以 在 Symantec 服务 器 (例如 ATEN-01) 对 整 
个 网 络 进行 病毒 库 更 新 、 查 毒 和 杀毒 。 

如 图 2-62 所 示 ,在 客户 端 列 表 中 , 右 击 选中 的 客户 机 (可 以 选择 一 台 或 多 台 ) ,在 弹出 的 
菜单 中 选择 【所 有 任务 了 /Symantec AntiVirus 伙 立即 更 新 病毒 定义 命令 ,可 以 更 新 客户 端 
的 病毒 库 ,或 者 手动 查 毒 和 杀毒 。 
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动手 动 扫描 
文件 系统 自动 防护 拓 考 - 
查看 国际 列 死 


图 2-62 ”对 客户 端的 查 毒 和 杀毒 


2.4 蠕虫 病毒 


蠕虫 病毒 是 一 种 常见 的 计算 机 病毒 。 它 的 传染 机 理 是 利用 网 络 进行 复制 和 传播 ,传染 
途径 是 通过 网 络 、 电 子 邮件 以 及 U 盘 、 移 动 硬盘 等 移动 存储 设备 。 比 如 2003 年 肆虐 的 “ 冲 
击 波 ”和 2004 年 的 “震荡 波 ”“ 狙 击 波 ”,2006 年 以 来 危害 极 大 的 “ 维 金 ”(Worm. Viking. m， 
也 称 “ 威 金 "”) “熊猫 烧香 "(Worm. WhBoy.h, 也 称 “ 武 汉 男 孩 ”) 都 是 蠕虫 病毒 的 一 和 种。 蠕虫 
程序 主要 利用 系统 漏洞 进行 传播 。 它 通过 网 络 .电子 邮件 和 其 他 传播 方式 , 像 生物 旺 虫 一 样 
从 一 台 计 算 机 传染 到 另 一 台 计算 机 。 因 为 蠕虫 使 用 多 种 方式 进行 传播 .所 以 蠕虫 程序 的 传 
播 速度 是 非常 快 的 。 

蠕虫 侵入 一 台 计 算 机 后 ,首先 获取 其 他 计算 机 的 IP 地 址 ,然后 将 自身 副本 发 送 给 这 些 
计算 机 。 蠕 虫 病毒 也 使 用 存储 在 染 毒 计算 机 上 的 邮件 客户 端 地 址 德里 的 地 址 来 传播 程序 。 
虽然 有 的 蠕虫 程序 也 在 被 感染 的 计算 机 中 生成 文件 ,但 一 般 情 况 下 ,蠕虫 程序 只 占用 内 存 资 
源 而 不 占用 其 他 资源 。 

蠕虫 通常 会 感染 目前 主流 的 Windows 2000/XP/Server 2003 系统 ,如 果 不 及 时 预防 ， 
它们 会 蛋 食 并 破坏 系统 ,最 终 使 整个 系统 瘫痪 ,并 有 可 能 会 在 几 天 内 快速 传播 ,大 规模 感染 
网 络 , 对 网 络 安全 造成 严重 危害 。 


2.4.1 蠕虫 病毒 的 定义 和 危害 性 


1. 蠕虫 的 定义 


蠕虫 本 来 只 是 一 个 生物 学 名 词 ,在 1982 年 由 Shock 和 Hupp 引入 计算 机 领域 ,并 给 出 了 
计算 机 蠕虫 的 两 个 最 基本 特征 , 即 可 以 从 一 台 计 算 机 移动 到 另 一 台 计算 机 ,并 且 可 以 自我 复 
制 。1988 年 Morris 蠕虫 爆发 后 ,为 了 区 分 蠕虫 和 病毒 ,从 技术 的 角度 给 出 了 蠕虫 的 定义 :“ 计 
算 机 蠕虫 可 以 独立 运行 ,并 能 把 自身 的 一 个 包含 所 有 功能 的 版 本 传播 到 另外 的 计算 机 上 ”。 
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2. 蠕虫 与 一 般 病 毒 的 区 别 


由 于 蠕虫 和 病毒 具有 共同 特征 ,人 们 常常 将 蠕虫 当 作 病 毒 。 

一 般 的 病毒 是 需要 寄生 的 , 它 可 以 通过 自己 指令 的 执行 ,将 自己 的 指令 代码 写 到 其 他 程 
序 的 体内 ,而 被 感染 的 文件 就 被 称 为 “宿主 ”"。 例 如 ,在 Windows 下 可 执行 文件 的 格式 为 pe 
(Portable Executable, 可 移植 可 执行 ) 格 式 , 当 需要 感染 pe 文件 时 ,在 宿主 程序 中 建立 一 个 
新 节 , 将 病毒 代码 写 到 新 节 中 ,或 修改 程序 人口 点 等 。 这 样 ,宿主 程序 执行 的 时 候 ,就 可 以 先 
执行 病毒 程序 ,病毒 程序 运行 完 之 后 , 青 把 控制 权 交 给 宿主 原来 的 程序 指令 。 可 见 , 病 毒 主 
要 是 感染 文件 。 

但 蠕虫 一 般 不 采取 利用 pe 格式 插入 文件 的 方法 ,而 是 复制 自身 在 Internet 环境 下 进行 
传播 ,病毒 的 传染 能 力主 要 是 针对 计算 机 内 的 文件 系统 而 言 。 蠕 虫 的 传染 目标 是 Internet 
内 的 所 有 计算 机 或 局 域 网 条 件 下 的 共享 文件 夹 . 电 子 邮件 、 网 络 中 的 恶意 网 页 ,以 及 大 量 存 
在 着 漏洞 的 服务 器 等 都 成 为 蠕虫 传播 的 良好 途径 。 

由 于 蠕虫 和 计算 机 病毒 都 具有 传染 性 与 复制 功能 ,导致 两 者 之 间 是 非常 难 区 分 的 。 尤 
其 是 近年 来 , 越 来 越 多 的 病毒 采取 了 部 分 蠕虫 的 技术 。 另 外 ,具有 破坏 性 的 蠕虫 也 采取 了 部 
分 病毒 的 技术 ,于 是 后 来 就 把 两 类 程序 统称 为 “蠕虫 病毒 ”。 

蠕虫 病毒 通过 不 停 地 获得 网 络 中 存在 漏洞 的 计算 机 上 的 部 分 或 全 部 控制 权 来 进行 传 
播 , 它 的 最 大 特点 就 是 大 量 侵占 系统 或 网 络 带宽 资源 ,造成 用 户 计算 机 和 网 络 通信 效率 大 大 
降低 ,甚至 瘫痪 。 蠕 虫 病毒 与 计算 机 病毒 的 主要 区 别 如 表 2-2 所 示 。 


表 2-2 蠕虫 病毒 与 计算 机 病毒 的 比较 


比较 项 目 是 了 贝 病毒 计算 机 病毒 (传统 ) 

存在 形式 独立 个 体 寄生 

复制 机 制 自身 的 复制 插入 到 宿主 文件 
和 

传染 机 制 系统 漏洞 a el 

攻击 目标 网 络 上 的 其 他 计算 机 本 地 文件 

甬 发 机 制 程序 自身 计算 机 使 用 者 

影响 重点 网 络 性 能 和 系统 性 能 文件 系统 

计算 机 使 用 者 的 角色 ”| 无 关 传播 中 的 关键 环节 

防治 措施 为 系统 打 补丁 从 宿主 文件 中 清除 

对 抗 主体 A 计算 机 使 用 者 和 反 病 毒 的 厂商 


3. 蠕虫 病毒 的 危害 


根据 使 用 者 情况 ,可 将 蠕虫 病毒 分 为 两 种 。 一 种 是 对 企业 用 户 和 局 域 网 而 言 , 这 种 蠕虫 
病毒 利用 系统 漏洞 ,主动 进行 攻击 ,可 以 对 整个 Internet, 可 造成 瘫痪 性 的 后 果 , 以 红色 代 
码 、 尼 姆 达 蠕 虫 ,以 及 SQL 蠕虫 王 为 代表 。 另 外 一 种 是 针对 个 人 用 户 的 , 它 通过 网 络 (主要 
是 电子 邮件 .恶意 网 页 形式 ) 迅 速 传 播 蠕虫 ,以 受 虫 蠕虫 .求职 信里 虫 为 代表 。 在 这 两 种 蠕虫 
中 ,第 一 种 具有 很 大 的 主动 攻击 性 ,而 且 爆发 有 一 定 的 突然 性 ,但 相对 来 说 , 查 杀 这 种 蠕虫 并 
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不 是 很 难 。 第 二 种 蠕虫 的 传播 方式 比较 复杂 和 多 样 ,少数 利用 了 微软 的 应 用 程序 的 漏洞 ,更 
多 的 是 利用 社会 工程 学 对 用 户 进行 欺骗 和 诱 使 。 这 样 的 蠕虫 造成 的 损失 非常 大 ,同时 也 很 
难 根 除 。 比 如 求职 信和 蠕虫 ,在 2001 年 就 已 经 被 各 大 杀毒 厂商 发 现 ,但 直到 2002 年 年 底 依然 
排 在 病毒 危害 排行 榜 的 首位 。 

蠕虫 病毒 是 目前 危害 最 大 的 恶意 程序 ,几乎 每 次 蠕虫 发 作 都 会 造成 巨大 的 经 济 损失 。 
1988 年 11 月 2 日 ,Morris 蠕虫 发 作 , 几 天 之 内 6000 台 以 上 的 Internet 服务 器 因 感 染 而 瘫 
痪 ,损失 超过 1000 万 美元 ;2001 年 7 月 19 日 ,CodeRed 蠕虫 爆发 ,爆发 后 的 9 个 小 时 内 就 
攻击 了 25 万 台 计 算 机 ,造成 的 损失 估计 超过 20 亿美 元 ,随后 几 个 月 内 产生 了 威力 更 强 的 几 
个 变种 ,其 中 CodeRed 工 造 成 的 损失 估计 超过 12 亿美 元 ;2001 年 9 月 18 日 ,Nimda 蠕虫 被 
发 现 , 对 Nimda 造成 的 损失 的 评估 数据 从 5 亿美 元 攀升 到 26 亿美 元 后 ,继续 攀升 ,到 现在 
已 无 法 估计 。 直 到 现在 仍 在 全 球 爆 发 的 冲击波” 蠕虫 病毒 及 其 变种 ,其 传播 速度 及 危害 之 
大 是 史无前例 的 。 与 以 前 的 蠕虫 病毒 相 比 , “冲击 波 ” 的 感染 潜力 大 得 多 ,由 于 在 全 球 范围 内 
微软 操作 系统 的 漏洞 影响 的 计算 机 数量 庞大 ,因此 ,其 危害 很 难 在 近期 内 统计 出 来 。 目 前 蜂 
虫 病毒 爆发 的 频率 越 来 越 高 ,尤其 是 近 两 年 来 , 越 来 越 多 的 蠕虫 病毒 出 现 ,其 传播 速度 以 几 
何 级 数 增长 ,危害 之 大 始 料 不 及 。 


2.4.2 ”蠕虫 病毒 的 工作 模式 


蠕虫 病毒 由 两 部 分 组 成 : 一 个 主 程序 和 一 个 引导 程序 。 主 程序 一 旦 在 机 器 上 建立 ,就 
会 去 收集 与 当前 机 器 联网 的 其 他 机 器 的 信息 。 它 能 通过 读 取 公共 配置 文件 并 运行 显示 当前 
网 上 联机 状态 信息 的 系统 实用 程序 而 做 到 这 一 点 。 随 后 , 它 尝 试 利用 系统 的 缺陷 在 这 些 远 
程 机 器 上 建立 其 引导 程序 。 

蠕虫 病毒 程序 常 驻 于 一 台 或 多 台 机 器 中 ,并 有 自动 重新 定位 (AutoRelocation) 的 能 力 。 如 
果 它 检测 到 网 络 中 的 某 台 机 器 未 被 占用 , 它 就 把 自身 的 一 个 副本 (一 个 程序 段 ) 发 送 给 那 台 机 
器 。 每 个 程序 段 都 能 把 自身 的 副本 重新 定位 于 另 一 台 机 器 中 ,并 且 能 识别 它 占用 的 那 台 机 器 。 


2.4.3 ”蠕虫 病毒 的 基本 特征 


通过 对 蠕虫 的 整个 工作 流程 进行 分 析 , 可 以 归纳 出 它 的 行为 特征 如 下 。 
1. 主动 攻击 


蠕虫 在 本 质 上 已 经 演变 为 黑客 入 侵 的 自动 化 工具 。 当 蠕虫 被 释放 后 ,从 搜索 漏洞 ,到 利 
用 搜索 结果 攻击 系统 ,到 复制 副本 ,整个 流程 全 由 蠕虫 自身 主动 完成 。 


2. 行踪 隐蔽 


由 于 蠕虫 的 传播 过 程 不 像 病 毒 那样 需要 计算 机 使 用 者 的 辅助 工作 (如 执行 文件 ,打开 文 
件 、 阅 读 信件 、 浏 览 网 页 等 ), 所 以 在 蠕虫 传播 的 过 程 中 计算 机 使 用 者 基本 上 不 可 察觉 。 


3. 利用 系统 、 网 络 应 用 服务 漏洞 
除了 最 早 的 蠕虫 在 计算 机 之 间 传 播 , 是 程序 设计 人 员 许 可 并 在 每 台 计 算 机 上 做 了 相应 
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的 配合 支持 机 制 之 外 ,所 有 后 来 的 蠕虫 都 要 突破 计算 机 系统 的 自身 防线 ,并 对 其 资源 进行 小 
用 。 计算 机 系统 存在 漏洞 是 蠕虫 传播 的 前 提 , 利 用 这 些 漏洞 ,蠕虫 获得 被 攻击 的 计算 机 系统 
的 相应 权限 ,完成 后 面 的 复制 和 传播 过 程 。 这 些 漏洞 有 的 是 操作 系统 本 身 的 问题 ,有 的 是 应 
用 服务 程序 的 问题 ,有 的 是 网 络 管理 人 员 的 配置 问题 。 正 是 由 于 漏洞 产生 原因 的 复杂 性 , 导 
致 面 对 里 虫 的 攻击 防不胜防 。 


4. 造成 网 络 拥塞 


蠕虫 进行 传播 的 第 一 步 就 是 找到 网 络 上 其 他 存在 漏洞 的 计算 机 系统 ,这 需要 通过 大 面 
积 的 搜索 来 完成 。 搜 索 动作 包括 : 判断 其 他 计算 机 是 否 存在 ,判断 特定 应 用 服务 是 否 存 在 ， 
判断 漏洞 是 否 存在 。 这 不 可 避免 地 会 产生 附加 的 网 络 数据 流量 。 即 使 是 不 包含 破坏 系统 正 
常 工作 的 恶意 代码 的 蠕虫 ,也 会 因为 它 产生 了 巨大 的 网 络 流量 而 导致 整个 网 络 瘫 痰 ,从 而 造 
成 经 济 损失 。 


5. 降低 系统 性 能 


蠕虫 人 侵 到 计算 机 系统 之 后 ,会 在 被 感染 的 计算 机 上 产生 自己 的 多 个 副本 ,每 个 副本 启 
动 搜 索 程序 寻找 新 的 攻击 目标 。 大 量 的 进程 会 耗费 系统 的 资源 ,导致 系统 的 性 能 下 降 。 这 
对 网 络 服务 器 的 影响 尤其 明显 。 


6. 产生 安全 隐患 


大 部 分 蠕虫 会 收集 .扩散 、 暴 露 系统 敏感 信息 (如 用 户 信 息 等 ) ,并 在 系统 中 留 下 后 门 , 有 
些 还 与 黑客 技术 相 结 合 。 这 些 都 会 导致 未 来 的 安全 隐患 。 以 红色 代码 为 例 ,感染 后 的 机 器 
的 Web 目录 的 \scripts 下 将 生成 一 个 Root. exe, 可 以 远程 执行 任何 命令 ,从 而 使 黑客 能 够 
再 次 进入 。 

7. 反复 性 


即使 清除 了 蠕虫 在 文件 系统 中 留 下 的 任何 痕迹 ,如 果 没有 修补 计算 机 系统 漏洞 ,重新 接 
入 到 网 络 中 的 计算 机 还 是 会 被 重新 感染 。 这 个 特性 在 Nimda 蠕虫 的 身上 表现 得 尤为 突出 。 
计算 机 使 用 者 用 一 些 声称 可 以 清除 Nimda 的 防 病毒 产品 来 清除 本 机 上 的 Nimda 蠕虫 副本 
后 ,很 快 又 重新 被 Nimda 蠕虫 所 感染 。 


8. 编写 过 程 简单 


蠕虫 病毒 的 编写 过 程 简单 ,不 需要 经 过 复杂 的 学 习 。 它 们 往往 就 是 利用 VBS 来 编写 
的 。 比 如 欢乐 时 光 这 类 病毒 ,只 要 仔细 研究 它们 的 源 代码 ,很 快 就 可 以 自己 编写 一 个 相似 的 
病毒 出 来 。 这 样 ,利用 VBS 或 者 相似 技术 编写 的 病毒 越 来 越 多 。 同 时 ,由 于 其 简单 性 ,甚至 
可 以 编写 出 专门 生产 病毒 的 程序 。 尽 管 这 一 类 程序 在 技术 上 可 能 没有 太 多 创新 ,但 在 当前 
的 反 病毒 技术 下 , 防 病毒 软件 并 不 可 以 识别 这 些 具有 相似 性 的 病毒 。 

蠕虫 病毒 制作 技术 与 传统 的 病毒 不 同 的 是 ,许多 新 病毒 是 利用 当前 最 新 的 编程 语言 与 
编程 技术 实现 的 ,易于 修改 ,以 产生 新 的 变种 ,从 而 逃避 反 病 毒 软件 的 搜索 。 另 外 ,新 病毒 利 
用 Java、ActiveX、VBScript 等 技术 ,可 以 潜伏 在 HTML 页 面 里 ,在 上 网 浏览 时 触发 。 
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9. 传播 方式 多 样 


如 Nimda 病毒 和 求职 信 病 毒 就 有 多 种 传播 方式 ,可 利用 的 传播 途径 包括 文件 ,电子 邮 
件 、Web 服务 器 、 网 络 共享 等 。 


2.4.4 ”蠕虫 病毒 的 预防 措施 


蠕虫 病毒 和 普通 病毒 一 个 不 同 的 特征 是 蠕虫 病毒 往往 能 够 利用 漏洞 。 这 里 的 漏洞 或 者 
说 是 缺陷 ,可 分 为 两 种 : 软件 上 的 缺陷 和 人 为 的 缺陷 。 软 件 上 的 缺陷 ,如 远程 溢出 ,微软 IE 
和 Outlook 的 自动 执行 漏洞 等 ,需要 软件 厂商 和 用 户 共 同 配合 ,不 断 地 升级 软件 。 而 人 为 的 
缺陷 ,主要 指 的 是 计算 机 用 户 的 玻 忽 。 例 如 , 当 收 到 一 封 求职 信和 邮件 的 时 候 , 大 多 数 人 都 会 
抱 着 好 奇 心 去 点 击 的 。 

企业 防治 蠕虫 病毒 主要 考虑 如 下 几 个 问题 。 

(1) 对 用 户 进行 安全 培训 。 要 及 时 对 用 户 进行 安全 培训 ,提醒 用 户 使 用 具有 实时 监控 
功能 的 杀毒 软件 ,并 且 注 意 不 要 轻易 打开 .运行 不 明 来 源 的 文件 。 上 网 要 尽量 选择 一 些 大 的 
门户 网 站 ,尽量 少 上 一 些小 且 不 知名 的 网 站 。 对 于 来 历 不 明 的 电子 邮件 ,最 好 不 要 打开 , 尤 
其 是 附件 。 机 器 的 安全 设置 可 以 设置 得 高 一 些 , 比 如 IE 的 安全 级 别 可 以 设置 为 "中 ”, 把 其 
中 所 有 ActiveX 插件 以 及 Java 相关 控件 全 部 选择 “禁用 ”。 

(2) 及 时 更 新 系统 安全 补丁 。 由 于 蠕虫 病毒 是 利用 系统 漏洞 进行 攻击 ,所 以 需要 在 第 
一 时 间 保 持 系统 和 应 用 软件 的 安全 性 ,保持 各 种 操作 系统 和 应 用 软件 的 及 时 更 新 ,及 时 下 载 
安装 系统 安全 补丁 。 

(3) 部 署 网 络 防 病毒 系统 。 这 方面 主要 依靠 的 是 专业 的 计算 机 病毒 防护 系统 ,例如 网 
络 版 的 杀 病 毒 软件 Symantec AntiVirus 瑞星 等 。 通 过 它们 可 以 在 第 一 时 间 在 整个 网 络 内 
检测 到 网 络 异 常 和 病毒 攻击 。 

(4) 建立 应 急 响应 系统 。 由 于 蠕虫 病毒 爆发 的 突然 性 ,可 能 在 病毒 发 现 的 时 候 已 经 草 
延 到 了 整个 网 络 ,所 以 在 突 发 情况 下 ,建立 一 个 紧急 响应 系统 是 很 有 必要 的 ,在 病毒 爆发 的 
第 一 时 间 即 能 提供 解决 方案 。 

(5) 建立 灾难 备份 系统 。 对 于 数据 库 和 服务 器 数据 系统 ,必须 采用 定期 备份 或 多 机 备 
份 措施 ,防止 发 生意 外 灾难 时 造成 的 数据 丢失 。 

(6) 把 本 地 的 带 有 破坏 性 的 程序 更 名 。 有 些 网 络 蠕虫 病毒 会 通过 调用 系统 中 已 经 编译 
好 的 带 有 破坏 性 的 程序 来 实现 其 功能 。 如 果 将 本 地 的 带 有 破坏 性 的 程序 改名 字 , 比 如 把 
format. com 改 成 fmt. com ,那么 病毒 的 编辑 者 就 无 法 用 调用 本 地 命令 来 实现 这 一 功能 。 

(7) 更 名 或 删除 脚本 程序 的 系统 支持 文件 。 由 于 蠕虫 病毒 大 多 是 用 VBScript 脚本 语 
言 编写 的 ,而 VBScript 代码 是 通过 Windows Script Host 来 解释 执行 的 ,因此 将 Windows 
Script Host 删除 ,就 再 也 不 用 担心 这 些 用 VBS 和 JS 编写 的 病毒 了 。Windows Script Host 
本 来 是 被 系统 管理 员 用 来 配置 桌面 环境 和 提供 系统 服务 ,实现 最 小 化 管理 的 一 个 手段 ,但 对 
于 大 部 分 用 户 而 言 ,WSH 并 没有 多 大 用 处 ,所 以 普通 用 户 可 以 禁止 Windows Script Host; 
也 可 以 到 C:\Windows\System32 目录 下 ,找到 WScript. exe 等 脚本 程序 的 系统 支持 文件 ， 
更 改 其 名 称 或 者 干脆 删除 (这 种 做 法 有 一 定 的 副作用 ,如 果 删 除 脚 本 程序 的 系统 支持 文件 ， 
网 页 的 JS、WS 和 VBS 等 脚本 将 不 能 再 执行 ,所 以 应 慎 用 )。 
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(8) 把 邮件 存放 在 其 他 分 区 。 由 于 操作 系统 通常 安装 在 C 盘 分 区 中 ,而 且 C 盘 又 是 启 
动 分 区 ,所 以 C 盘 往 往 是 病毒 攻击 频率 最 高 的 地 方 。 而 且 蠕 虫 病毒 最 常用 的 入 侵 途 径 就 是 
邮件 。 而 按 系 统 默 认 的 设置 ,一般 微软 的 OE(Outlook Express) 邮 件 存放 的 位 置 是 系统 安 
装 分 区 (通常 是 C 盘 ) ,这 样 就 会 使 C 盘 分 区 受到 蠕虫 攻击 的 可 能 性 再 度 提高 ,使 系统 安全 
受到 严重 威胁 。 所 以 建议 把 OE 中 的 邮件 存放 位 置 改 在 其 他 非 系统 、 非 启动 分 区 中 。 


2.5 狙击 波 蠕虫 病毒 防护 


2.5.1 狙击 波 蠕虫 病毒 概述 


狙击 波 蠕虫 病毒 (Worm. Zotob) 是 2005 年 以 来 最 早 利用 微软 漏洞 攻击 计算 机 的 蠕虫 
病毒 ,该 病毒 最 初 可 能 源 自 欧洲 芬兰 ,之 后 在 欧洲 迅速 流传 。 到 2005 年 8 月 18 日 美国 部 分 
重要 企业 和 政府 机 构 遭 受 此 次 蠕虫 狂潮 的 袭击 ,并 造成 网 络 瘫痪 。 但 该 旺 虫 病毒 在 中 国内 
地 并 未 出 现 大 规模 泛滥 。 从 截获 的 “狙击 波 ” 及 其 变种 分 析 , 最 主要 的 原因 是 狙击 波及 其 变 
种 均 为 国外 作者 编写 , 可 完全 攻击 和 感染 英文 版 的 Windows 系统 。 所 以 对 于 中 文 
Windows 系统 ,该 病毒 虽然 可 以 攻击 计算 机 并 导致 计算 机 重启 , 却 不 能 致使 其 感染 。 

狙击 波 是 Windows 下 的 PE 病毒 ,利用 了 微软 公布 的 严重 系统 漏洞 , 即 Windows Plug 
and Play( 即 插 即 用 ) 中 存在 的 漏洞 (MS05-039)。Plug and Play 中 存在 Windows 未 经 检查 
的 缓冲 区 ,成 功利 用 此 漏洞 的 攻击 者 可 以 控制 受 影响 的 系统 。 和 冲击 波 、 震 荡 波 方法 类 似 ， 
攻击 代码 向 目标 系统 的 TCP 445 端口 发 送 漏 洞 代码 ,使 目标 系统 造成 缓冲 区 溢出 ,同时 运 
行 病毒 代码 ,以 进行 传播 。 

病毒 在 系统 中 成 功 执行 后 ,将 进行 以 下 的 三 个 操作 : 

(1) 病毒 启动 后 ,会 将 自己 复制 到 系统 目录 中 ,病毒 文件 名 为 botzor. exe。 

(2) 在 注册 表 中 添加 下 列 启动 项 。 

HKEY LOCAL MACHINE\Software\Microsoft\Windows\Currentversion\Run 

"WINDOWS SYSTEM"=botzor.exe 


HKEY_LOCAL MACHINE\Software\Microsoft\Windows\Currenversion\RunServices 
"WINDOWS SYSTEM"=botzor.exe 


(3) 在 感染 的 时 候 , 病 毒 利用 IP 扫描 的 方式 在 网 络 中 寻找 具有 漏洞 的 系统 ,发 现 后 就 
会 对 系统 进行 攻击 , 先 连接 系统 的 TCP 445 端口 ,并 植 和 人 系统 中 一 个 远程 SHELL, 此 远程 
SHELL 释放 一 个 文件 2PAC. TXT, 此 文件 中 包含 有 一 段 FTP 命令 脚本 ,功能 是 利用 FTP 
从 远程 将 病毒 文件 下 载 到 本 地 。 

(4) 如 果 攻 击 失 败 , 则 造成 类 似 冲击 波 、 震 荡 波 引起 的 计算 机 重启 。 

(5) 修改 系统 的 HOST 文件 ,添加 造成 用 户 不 能 访问 杀毒 软件 网 站 的 内 容 , 使 相关 杀 
毒 软件 不 能 升级 。 


2.5.2 狙击 波 蠕 虫 病毒 防护 步骤 


根据 狙击 波 蠕虫 病毒 的 原理 ,狙击 波 是 通过 TCP 的 445 端口 实施 攻击 的 ,因此 ,封闭 


@@ 
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TCP 445 端口 是 最 好 的 病毒 预防 方法 。 具 体 的 方法 非常 多 ,如 通过 防火 墙 封 锁 、Windows 
高 级 TCP/IP 设置 中 的 IP 筛选 器 、 修 改 注 册 表 等 。 在 这 里 ,通过 本 地 安全 策略 封闭 TCP 
445 端口 ,以 学 习 如 何 预防 狙击 波 ,并 认识 在 Windows 系统 下 自 定义 封闭 端口 或 者 禁止 
ICMP 数据 的 方式 。 
(1) 选择 [控制 面板 】 人 管理 工具 人 本 地 安全 设置 了] 人 安全 设置 ] 选 项 , 右 击 【IP 安全 策 
略 ,在 本 地 计算 机 】, 选 择 [ 管 理 IP 筛选 器 表 和 筛选 器 操作 了 命令 ,如 图 2-63 所 示 。 
5 


文件 {E) ”操作 (A) ”查看 (W) ”帮助 (中 
守 销 | 甸 | 加 区 | 多 | 全 二 


撕 术 
的 安全 服务 器 (需要 安全 ) 。 对 所 有 JP 通讯 总 是 使 用 Kerbe..， 否 
总 客户 注 ( 仅 响应 ) 正常 通讯 (不 安全 的 )。 使 用 默 ,， 否 
的 服务 器 (请 求 安全 ) 对 所 有 Ip 通讯 总 是 使 用 Kerbe,， 否 


图 2-63 【本 地 安全 设置 I 窗口 
(2) 在 打开 的 [管理 IP 筛选 器 表 和 筛选 器 操作 对话 框 中 , 单 击 [ 添 加 了 按钮 ,如 图 2-64 
所 示 。 


管理 IP 第 选 回 表 和 第 选 器 操作 到 | 
管理 I 第 选 器 列表 | 管理 第 选 器 操作 | 


取消 ”| | 应 用 四 
图 2-64 【管理 IP 筛选 器 表 和 筛选 器 操作 对 话 框 


(3) 在 弹出 的 [IP 第 选 器 列表 】 对 话 框 中 ,取消 选择 【使 用 “添加 向 导 ”] 复 选 框 , 单 击 【 添 
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加 了 按钮 ,如 图 2-65 所 示 。 


2-65 【IP 筛选 器 列表 对话 框 


(4) 接着 弹出 【筛选 器 属性 对 话 框 , 在 【 寻 址 选项 卡 中 ,选择 [ 源 地 址 为 “任何 IP 地 
址 ”,【 目 标 地 址 ] 为 “我 的 IP 地址 ”, 如 图 2-66 所 示 。 

(5) 选择 【协议 】 选 项 卡 , 设 置 【选择 协议 类 型 ] 为 TCP,【 到 此 端口 设置 为 445, 如 
图 2-67 所 示 。 


图 2-66 【 寻 址 ] 选 项 卡 图 2-67 【协议 3 选项 卡 


医 提示 : 读者 可 以 根据 上 述 步 骤 学 习 封 闭 其 他 端口 ,甚至 禁止 某 些 协议 通信 。 


(6) 单 击 【确定 按钮 , 回 到 【IP 筛选 器 列表 对 话 框 ,再 单 击 【确定 按钮 。 回 到 【管理 IP 
筛选 器 表 和 筛选 器 操作 对 话 框 后 ,最 后 单 击 【确定 了 按钮 ,完成 筛选 器 的 添加 。 

(7) 接 下 来 是 添加 应 用 此 筛选 器 的 IP 策略 。 回 到 【本 地 安全 设置 了 窗口 后 ,同样 右 击 
【IP 安全 策略 ,在 本 地 计算 机 了 ,选择 [创建 IP 安全 策略 】 命 令 。 


(8) 进入 [IP 安全 策略 向 导 】 对 话 框 后 , 单 击 【 下 一 步 ] 按 钮 ,接着 输入 策略 名 称 ,同样 使 
用 TCP445, 如 图 2-68 所 示 。 


2-68 【IP 安全 策略 名 称 ] 对 话 框 


(9) 单 击 [ 下 一 步 ] 按 钮 , 进 伙 安全 通信 请 求 ] 对 话 框 ,取消 选中 [激活 默认 响应 规则 3 复 
选 框 , 单 击 [ 下 一 步 ] 按 钮 ,再 单 击 [完成 3 按钮 ,如 图 2-69 所 示 。 


图 2-69 【安全 通信 请 求 ] 对 话 框 


(10) 接着 对 该 IP 安全 策略 进行 属性 设置 ,在 [TCP 445 属性 了 对 话 框 中 ,取消 【使 用 * 添 
加 向 导 ”] 的 选择 ,然后 单 击 【 添 加 3 按钮 ,如 图 2-70 所 示 。 

(11) 出 现 [ 新 规则 属性 } 对 话 框 ,在 [IP 盘 选 器 列表 中 选择 刚才 定义 的 筛选 器 ,如 
2-71 所 示 。 

(12) 选择 [筛选 器 操作 标签 ,同样 去 掉 [ 使 用 “添加 向 导 ”] 复 选 框 的 选中 状态 , 单 击 【 添 
加 3 按钮 ,如 图 2-72 所 示 。 


‘(® 


从 第 2 章 ”病毒 、 蠕 虫 和 木马 的 清 多 


(13) 在 弹出 的 [新 筛选 器 操作 属性 了 对 话 框 的 [安全 措施 选项 卡 中 ,选择 【阻止 ] 单 选 
按钮 , 单 击 【 确 定 了 按钮 退出 ,如 图 2-73 所 示 。 


EEOEE 


匹 也 该 计算 机 与 任何 其 地 计算 
匹配 该 计算 机 到 任何 其 地 计算 


图 2-71 选择 筛选 器 


| 新 往 先 器 氛 作 尾 性 


图 2-72 【筛选 器 操作 】 选 项 卡 图 2-73 筛选 器 操作 规则 


(14) 回 到 【新 规则 属性 对 话 框 ,在 【筛选 器 操作 】 选 项 卡 中 选择 刚才 定义 的 “筛选 器 操 
作 ”, 然 后 单 击 【确定 3 按钮 .退出 对 话 框 。 

(15) 回 到 [TCP 445 属性 对 话 框 , 单 击 【 确 定 ] 按 钮 退出 ,此 时 发 现 [ 本 地 安全 设置 3 中 
已 经 添加 了 新 策略 TCP 445。 右 击 此 策略 ,选择 【指派 】 命 令 ,这样 ,该 策略 将 应 用 到 系统 中 ， 


本 地 的 445 端口 将 禁止 一 切 的 通信 .如 图 2-74 所 示 。 
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写本 地 安全 设置 
文件 (E) 操作 (多 ”查看 (0 必 助 () 
后 少 | 外 |X 狠 双 | 久 | 前 如 | 轩 8 


全 服 4 | 对 所 有 I 通信 息 是 使 用 Kerbe，… 
所 有 任务 (四 》| 正 党 通讯 (不 安全 的 )。 使 用 默 .… 
对 所 有 IP 通讯 总 是 使 用 Kerbe… 


图 2-74 设置 完成 


(16) 在 任务 栏 中 选择 [开始 /运行 ] 命 0 
令 , 打 开 【 运 行 ] 对 话 框 ,在 文本 框 中 输入 


gpupdate 命令 , 单 击 【确定 ] 按 钮 ,更 新 本 地 安 “ 上 7 半 mm 和 入境 和 
全 策略 ,如 图 2-75 所 示 。 打开 O: EC 了 


通过 上 述 方法 ,可 以 有 效 地 避免 狙击 波 病 
毒 的 感染 。 Cm | we | ak 四 .| 
图 2-75 更 新 本 地 安全 策略 


提示 : 可 以 使 用 端口 扫描 工具 扫描 计 
算 机 ,查看 TCP 445 端口 是 否 可 以 通信 。 


2.6 木 马 


木马 也 是 目前 最 主要 的 网 络 安全 威胁 之 一 ,而 且 因为 它 是 近 几 年 发 展 起 来 的 ,所 以 目前 
许多 杀 病 毒 软 件 对 木马 的 查 杀 能 力 比较 有 限 ,清除 木马 的 难度 更 大 。 


2.6.1 木马 概述 


“木马 ”的 全 名 为 “特洛伊 木马 ” ,英文 叫做 “Trojan Horse”, 是 一 种 基于 客户 机 和 服务 
器 (C/S ) 模 式 的 远程 控制 程序 。 其 名 称 取 自 希腊 神话 的 特洛伊 木马 记 。 和 希腊 人 围攻 特 洛 
伊 城 ,久久 不 能 得 手 , 后 来 想 出 了 一 个 木马 计 , 让 士兵 藏匿 于 巨大 的 木马 中 。 大 部 队 假装 
撤退 而 将 木马 按 弃 于 特洛伊 城 , 让 敌人 将 其 作为 战利品 拖 人 城内 。 木 马 内 的 士兵 则 乘 夜 
晚 敌 人 庆祝 胜利 .放松 警惕 的 时 候 从 木马 中 疏 出 来 ,与 城 外 的 部 队 里 应 外 合 而 攻 下 了 特 
洛 伊 城 。 后 来 ,人 们 就 常用 ”特洛伊 木马 ”这 一 典故 ,用 来 比喻 在 敌 方 营 人 又 里 埋 下 伏兵 、 里 
应 外 合 的 活动 。 

大 多 数 木 马 包括 客户 端 和 服务 器 端 两 个 部 分 。 攻 击 者 利用 一 种 称 为 绑 定 程序 的 工具 将 
服务 器 绑 定 到 某 个 合法 软件 上 ,只 要 用 户 一 运行 被 绑 定 的 合法 软件 ,木马 的 服务 器 部 分 就 在 
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用 户 毫 不 知情 的 情况 下 完成 了 安装 过 程 。 通 常 ,木马 的 服务 器 部 分 都 是 可 以 定制 的 ,攻击 者 
可 以 定制 的 项 目 一 般 包 括 服务 器 运行 的 IP 端口 号 ,程序 启动 时 机 、 如 何 发 出 调用 、 如 何 隐 
身 、 是 否 加 密 。 另 外 ,攻击 者 可 以 设置 登录 服务 器 的 密码 ,确定 通信 方式 。 木 马 攻击 者 既 可 
以 随心 所 和 欲 地 查看 已 被 和 人 侵 的 机 器 ,也 可 以 用 广播 方式 发 布 命令 ,指示 所 有 在 他 控制 之 下 的 
木马 一 起 行动 ,或 者 向 更 广泛 的 范围 传播 ,或 者 做 其 他 危险 的 事情 。 

木马 的 设计 者 为 了 防止 木马 被 发 现 ,会 采用 多 种 手段 隐藏 木马 ,这 样 用 户 即 使 发 现 感染 
木马 ,也 很 难 找到 并 清除 它 。 木 马 的 危害 越 来 越 大 ,保障 安全 的 最 好 方法 就 是 熟悉 木马 的 类 
型 .工作 原理 ,掌握 如 何 检测 和 预防 这 些 代 码 。 常 见 的 木马 ,例如 冰河 ` 灰 鸽子 和 BO2K 
(Back Orifice) 等 ,都 是 多 用 途 的 攻击 工具 包 , 功 能 非常 全 面 ,包括 捕获 屏幕 、 声 音 、 视 频 内 容 
的 功能 。 这 些 木马 可 以 当 作 键 记录 器 、 远 程控 制 器 .FTP 服务 器 .HTTP 服务 器 、Telnet 服 
务 器 ,还 能 够 寻找 和 窃取 密码 。 攻 击 者 可 以 配置 木马 监听 的 端口 .运行 方式 ,以 及 木马 是 否 
通过 E-mail .QQ ICQ IRC(Internet Relay Chat, 互 联网 中 继 聊 天 ) 或 其 他 通信 手段 联系 发 
起 攻击 的 人 。 一 些 危害 大 的 木马 还 有 一 定 的 反 侦 探 能 力 ,能够 采取 各 种 方式 隐藏 自身 ,加 密 
通信 ,甚至 提供 了 专业 级 的 API 供 其 他 攻击 者 开发 附加 功能 。 


2.6.2 木马 的 组 成 


一 个 完整 的 木马 系统 由 硬件 部 分 .软件 部 分 和 网 络 连接 三 部 分 组 成 。 
1. 硬件 部 分 


建立 木马 连接 所 必需 的 硬件 实体 ,包括 服务 器 端 ,控制 端 和 连接 服务 器 端 与 控制 端的 网 
络 。 服 务 器 端 是 被 控制 端 远程 控制 的 目标 计算 机 ,是 安装 了 木马 程序 的 服务 器 端 ;控制 端 是 
对 服务 器 端 进行 远程 控制 的 计算 机 ,是 安装 了 木马 程序 的 客户 端 ;而 网 络 则 是 控制 端 对 服务 
器 端 进 行 远程 控制 ,数据 传输 的 网 络 载体 。 


2. 软件 部 分 


软件 部 分 是 实现 远程 控制 所 必需 的 程序 。 与 硬件 部 分 对 应 , 它 分 为 服务 器 端 程序 ,控制 
端 程序 和 木马 配置 程序 三 部 分 。 图 2-76 所 示 是 著名 木马 BO2K 的 程序 。 服 务 器 端 程序 就 
是 木马 系统 的 服务 器 程序 , 它 被 隐藏 安装 在 目标 计算 机 内 部 ,以 获取 对 目标 计算 机 的 操作 权 
限 和 其 他 所 需 的 信息 ;而 控制 端 程序 就 是 客户 端 程序 ,是 用 来 与 远程 服务 器 端 连 接 ,并 控制 
服务 器 端 行为 的 客户 端 程序 :木马 配置 程序 是 设置 木马 程序 的 端口 号 、 触 发 条 件 、 木 马 名 称 
等 ,使 其 在 服务 器 端 藏 得 更 隐蔽 的 程序 。 


3. 网 络 连接 


木马 系统 通过 网 络 连接 可 在 服务 器 端 和 控制 端 之 间 建 立 一 条 木马 通信 通道 ,为 服务 器 
端 发 送 所 获取 的 信息 ,控制 端 发 出 控制 指令 提供 通道 。 木 马 攻击 是 通过 网 络 进行 的 ,可 以 是 
局 域 网 ,也 可 以 是 Internet 之 类 的 广域网 。 但 多 数 还 是 通过 Internet 进行 的 ,具体 的 网 络 连 


接 方式 没有 限制 ,只 要 有 通道 即 可 。 
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图 2-76 木马 程序 的 组 成 


2.6.3 木马 的 攻击 原理 


黑客 用 木马 进行 网 络 人 侵 , 从 过 程 上 看 大 致 可 分 为 六 步 ,下 面 从 这 六 步 来 详细 阐述 木马 
的 攻击 原理 。 


1. 配置 木马 


一 般 来 说 ,一 个 设计 成 熟 的 木马 都 有 木马 配置 程序 ,从 具体 的 配置 内 容 看 ,主要 是 为 了 
实现 以 下 两 方面 功能 : 

(1) 木马 伪装 。 木 马 配置 程序 为 了 在 服务 器 端 尽 可 能 好 地 隐藏 木马 ,会 采用 多 种 伪装 
手段 ,如 修改 图 标 、 拥 绑 文件 .定制 端口 .自我 销毁 等 。 

(2) 信息 反馈 。 木 马 配置 程序 将 就 信息 反馈 的 方式 或 地 址 进行 设置 ,如 设置 信息 反馈 
的 E-mail\IRC 号 和 QQ 号 等 。 


2. 传播 木马 


(1) 传播 方式 。 木 马 的 传播 方式 主要 有 两 种 : 一 种 是 通过 电子 邮件 , 即 控制 端 将 木马 
程序 以 附件 的 形式 夹 在 邮件 中 发 送出 去 , 收 信人 只 要 打开 附件 系统 就 会 感染 木马 ; 另 一 种 是 
软件 下 载 , 即 一 些 非 正规 的 网 站 以 提供 软件 下 载 为 名 义 , 将 木马 捆绑 在 软件 安装 程序 上 ,下 
载 后 ,只 要 一 运行 这 些 程序 ,木马 就 会 自动 安装 。 

(2) 伪装 与 隐藏 方式 。 木 马 设计 者 为 了 使 自己 所 设计 的 木马 程序 不 轻易 被 人 发 现 , 往 
往 在 开发 时 采用 多 种 方式 来 伪装 木马 ,以 达到 降低 用 户 警 觉 . 欺 骗 用 户 的 目的 。 其 形式 主要 
有 以 下 几 种 。 

a 在 任务 栏 中 隐藏 。 这 是 最 基本 的 方法 ,只 要 在 设计 木马 程序 时 把 Form 的 Visible 属 
性 设 为 False .ShowInTaskBar 属性 设 为 False, 木 马 程序 运行 时 就 不 会 出 现在 任务 栏 中 。 

@ 在 任务 管理 器 中 隐形 。 将 木马 程序 设 为 “系统 服务 ”, 伪 装 为 系统 的 一 部 分 。 

@ 修改 图 标 。 现 在 已 经 有 木马 可 以 将 木马 服务 器 端 程序 的 图 标 改 成 HTML、TXT、 
ZIP 等 各 种 文件 的 图 标 ,具有 相当 大 的 迷惑 性 。 当 用 户 在 邮件 的 附件 中 看 到 这 种 常见 文件 
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类 型 的 图 标 时 ,很 有 可 能 就 是 一 个 木马 程序 。 

@ 拥 绑 文 件 。 这 种 伪装 手段 是 将 木马 捆绑 到 一 个 安装 程序 上 , 当 安 装 程序 运行 时 , 木 
马 在 用 户 毫 无 察觉 的 情况 下 ,偷偷 地 进入 了 系统 。 被 捆绑 的 文件 一 般 是 可 执行 文件 ,如 
EXE COM 等 文件 。 

@ 出 错 显 示 。 有 些 木马 提供 了 出 错 显示 功能 。 当 服务 器 端 用 户 打开 木马 程序 时 ,会 弹 
出 一 个 假 的 错误 提示 框 ,错误 内 容 可 自由 定义 ,大 多 会 定制 成 一 些 诸如 “文件 已 破坏 ,无 法 打 
开 的 1” 之 类 的 信息 , 当 服 务 器 端 用 户 信 以 为 真 时 ,木马 却 悄 悄 侵 入 了 系统 。 

@ 定制 端口 。 很 多 老式 的 木马 端口 都 是 固定 的 ,这 给 判断 是 否 感染 了 木马 带 来 了 方 
便 ,只 要 查 一 下 特定 的 端口 就 知道 感染 了 什么 木马 ,所 以 现在 很 多 新 式 的 木马 都 加 入 了 定制 
端口 的 功能 ,控制 端 用 户 可 以 在 1024 一 65 535 之 间 任 选 一 个 端口 作为 木马 端口 (一 般 不 选 
1024 以 下 的 端口 ) ,这样 就 给 判断 所 感染 木马 类 型 带 来 了 麻烦 。 

@ 自我 销毁 。 当 服务 器 端 用 户 打 开 含 有 木马 的 文件 后 ,木马 一 般 会 将 自己 复制 到 
Windows 的 系统 文件 夹 (C:\Windows 或 C:\Windows\System) 中 。 而 木马 的 自我 销毁 功 
能 是 指 安装 完 木马 后 ,原木 马 文 件 将 自动 销毁 ,这 样 服务 器 端 用 户 就 很 难 找到 木马 的 来 源 ， 
在 没有 查 杀 木马 的 工具 帮助 下 ,就 很 难 删除 木马 了 。 

@ 木马 更 名 。 安 装 到 系统 文件 夹 中 的 木马 文件 名 一 般 是 固定 的 ,只 要 根据 一 些 查 杀 木 
马 的 文件 ,在 系统 文件 夹 查找 特定 的 文件 ,就 可 以 断定 中 了 什么 木马 。 但 是 ,现在 有 很 多 木 
马 都 允许 控制 端 用户 自 由 定制 安装 后 的 木马 文件 名 ,这 样 给 判断 是 否 感染 了 木马 以 及 所 感 
染 木马 的 类 型 带 来 困难 。 

目前 除了 上 面 介 绍 的 隐身 技术 外 ,更 隐蔽 的 方法 已 经 出 现 , 那 就 是 驱动 程序 及 动态 链接 
库 技术 。 驱 动 程序 及 动态 链接 库 技术 和 一 般 的 木马 不 同 , 它 基本 上 摆脱 了 原 有 的 木马 模 
式 一 一 监听 端口 ,而 采用 替代 系统 功能 的 方法 (改写 驱动 程序 或 动态 链接 库 ) 。 这 样 做 的 结 
果 是 : 系统 中 没有 增加 新 的 文件 (所 以 不 能 用 扫描 的 方法 查 杀 ) ,不 需要 打开 新 的 端口 (所 以 
不 能 用 端口 监视 的 方法 查 杀 ) ,没有 新 的 进程 (所 以 使 用 进程 查看 的 方法 发 现 不 了 它 ,也 不 能 
用 杀 掉 进程 的 方法 终止 它 的 运行 )。 在 正常 运行 时 木马 几乎 没有 任何 的 症状 ,而 一 旦 木马 的 
控制 端 向 被 控制 端 发 出 特定 的 信息 后 ,隐藏 的 程序 就 立即 开始 运作 。 


3. 运行 木马 


服务 器 端 用 户 运行 木马 或 拥 绑 木马 的 程序 后 ,木马 就 会 自动 进行 安装 。 首 先 将 自身 复 
制 到 Windows 的 系统 文件 夹 中 ,然后 在 注册 表 启动 组 , 非 启动 组 中 设置 好 木马 的 触发 条 
件 , 这 样 木 马 的 安装 就 完成 了 。 安 装 后 就 可 以 运行 木马 了 ,具体 过 程 如 下 。 

(1) 木马 的 触发 条 件 。 触 发 条 件 是 指 启动 木马 的 条 件 , 大 致 有 如 下 几 个 方面 : 

Q@ 注册 表 。 木 马 程 序 通 常 在 注册 表 的 Run、RunOnce 和 RunServices 主键 中 ,如 图 2-77 所 
示 。 可 以 在 其 中 寻找 可 能 是 启动 木马 的 键 值 。 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentUVersion\Run 


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices 


图 2-77 注册 表 的 Run 主键 


@y 
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@ win. ini 文 件 。 打 开 系 统 配 置 文件 win. ini, 在 [windows] 字 段 中 有 启动 命令 load 一 
和 run= ,在 一 般 情 况 下 是 空白 的 ,如 果 有 启动 程序 ,可 能 是 木马 。 

@ system. ini 文件 。 在 系统 配置 文件 system. ini 的 [386Enh]、Lmci]、Ldrivers32] 字 
段 中 有 命令 行 ,在 其 中 可 能 会 找到 木马 的 启动 命令 。 

@ Autoexec. bat 和 Config. sys 文件 。 在 C 盘 根 目录 下 的 这 两 个 文件 也 可 以 启动 木 
马 。 但 这 种 加 载 方式 一 般 都 需要 控制 端 用 户 与 服务 器 端 建立 连接 后 ,将 已 添加 木马 启动 命 
令 的 同名 文件 上 传 到 服务 器 端 覆盖 这 两 个 文件 才 行 。 

Q@ 其 他 .ini 文件.. ini 文件 是 应 用 程序 的 启动 配置 文件 ,控制 端 利用 这 些 文件 能 启动 程 
序 的 特点 ,将 制作 好 的 带 有 木马 启动 命令 的 同名 文件 上 传 到 服务 器 端 覆盖 这 同名 文件 ,这样 
就 可 以 达到 启动 木马 的 目的 了 。 

@ 启动 菜单 。 在 【开始 】 代 程序] 人 启动 3 中 的 菜单 项 也 可 能 是 木马 的 触发 条 件 ,不 过 这 
种 方式 最 容易 被 发 现 ,一 般 攻击 者 不 会 使 用 。 

@ 捆绑 文件 。 实 现 这 种 触发 条 件 首先 要 控制 端 和 服务 器 端 已 通过 木马 建立 连接 ,然后 
控制 端 用 户 用 工具 软件 将 木马 文件 和 某 一 应 用 程序 捆绑 在 一 起 ,然后 上 传 到 服务 器 端 覆盖 
原文 件 ,这 样 即使 木马 被 删除 了 ,只 要 运行 捆绑 了 木马 的 应 用 程序 ,木马 又 会 被 安装 上 去 。 

@ 自动 播放 。 自 动 播放 本 是 用 于 光盘 的 , 当 插入 一 个 电影 光盘 到 光驱 时 ,系统 会 自动 
播放 里 面 的 内 容 , 这 就 是 自动 播放 的 本 意 ,播放 什么 是 由 光盘 中 的 AutoRun. inf 文件 指定 
的 ,修改 AutoRun. inf 中 的 open 一 行 可 以 指定 在 自动 播放 过 程 中 运行 的 程序 。 后 来 有 人 用 
于 硬盘 与 U 盘 , 在 U 盘 或 硬盘 的 分 区 ,创建 Autorun. inf 文件 ,并 在 Open 中 指定 木马 程序 ， 
这 样 , 当 打 开 硬 盘 分 区 或 U 盘 时 ,就 会 触发 木马 程序 的 运行 。 

(2) 木马 运行 过 程 。 木 马 被 激活 后 ,进入 内 存 ,并 开启 事先 定义 的 木马 端口 ,准备 与 控 
制 端 建立 连接 。 这 时 服务 器 端 用 户 可 以 在 MS-DOS 方式 下 ,输入 netstat-an 命令 查看 端口 
状态 。 一 般 个 人 计算 机 在 脱 机 状态 下 是 不 会 有 端口 开放 的 ,如果 有 端口 开放 ,就 要 注意 是 否 
感染 木马 了 。 

不 过 ,现在 互联 网 应 用 非常 多 了 ,在 上 网 过 程 中 要 下 载 软 件 , 发 送信 件 、 网 上 聊天 等 , 必 
然 会 打开 一 些 端 口 。 注 意 这 些 互 联网 应 用 软件 所 用 的 端口 对 于 区 别 是 否 中 了 木马 非常 有 
用 。 如 1 一 1024 端口 称 为 “保留 端口 ”, 是 专用 于 系统 常见 服务 的 。 如 FTP 使 用 21, SMTP 
使 用 25,POP3 使 用 110 等 。 木 马 一 般 不 会 使 用 这 些 端口 ,因为 这 些 保 留 端口 在 系统 启动 时 
已 给 相应 的 服务 占用 了 。 

另外 ,如 4000 一 4001 端口 是 QQ 的 通信 端口 ,6667 端口 是 IRC 的 通信 端口 。 

除 上 述 的 端口 外 ,如 发 现 还 有 其 他 端口 打开 ,尤其 是 数值 比较 大 的 端口 , 那 就 要 怀疑 是 
和 否 感染 了 木马 。 当 然 如 果木 马 有 定制 端口 的 功能 , 那 任何 端口 都 有 可 能 是 木马 端口 。 


4. 盗 取 信息 


一 般 来 说 ,设计 成 熟 的 木马 都 有 一 个 信息 反馈 机 制 。 所 谓 信息 反馈 机 制 , 是 指 木马 成 功 
安装 后 会 收集 一 些 服务 器 端的 软 硬 件 信 息 ,并 通过 E-mail、IRC、QQ 或 ICQ 的 方式 告知 控 
制 端 用 户 。 

控制 端 从 反馈 信息 中 可 以 知道 服务 器 端的 一 些 软 硬件 信息 ,包括 使 用 的 操作 系统 、 系 统 
目录 、 硬 盘 分 区 状况 、 系 统 口令 等 ,在 这 些 信 息 中 ,最 重要 的 是 服务 器 端 IP 地 址 ,因为 只 有 得 


但 
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到 这 个 参数 ,控制 端 才能 与 服务 器 端 建立 连接 。 
5. 建立 连接 


一 个 木马 连接 的 建立 首先 必须 满足 两 个 条 件 : 一 是 服务 器 端 已 安装 了 木马 程序 ;二 是 
控制 端 、. 服 务 器 端 都 要 在 线 。 在 此 基础 上 控制 端 可 以 通过 木马 端口 与 服务 器 端 建立 连接 。 

假设 A 机 为 控制 端 ,B 机 为 服务 器 端 ,对 于 A 机 来 说 要 与 B 机 建立 连接 ,必须 知道 B 机 的 
木马 端口 和 了 IP 地址。 由 于 木马 端口 是 A 机 事先 设 定 的 ,为 已 知 项 ,所 以 最 重要 的 是 如 何 获 得 
B 机 的 PP 地址 。 获 得 B 机 的 IP 地 址 的 方法 主要 有 两 种 : 信息 反馈 和 IP 扫描。 由 于 扫描 整个 
IP 地 址 段 既 费 时 又 费力 ,一般 来 说 控制 端 都 是 通过 信息 反馈 获得 服务 器 端的 IP 地 址 。 


6. 远程 控制 


木马 连接 建立 后 ,控制 端 端口 和 木马 端口 之 间 将 会 出 现 一 条 通道 。 控 制 端 程序 可 依靠 
这 条 通道 与 服务 器 端 上 的 木马 程序 取得 联系 ,并 通过 木马 程序 对 服务 器 端 进行 远程 控制 , 获 
取 对 服务 器 端的 控制 权 。 


2.6.4 木马 的 危害 


黑客 通过 木马 程序 获取 对 服务 器 端的 控制 权 后 ,可 实施 的 危害 行为 主要 有 如 下 几 种 : 

(1) 窃取 密码 。 一 切 以 明文 的 形式 或 缓存 在 Cache 中 的 密码 都 能 被 木马 侦 测 到 ,此 外 
很 多 木马 还 提供 击 键 记录 功能 , 它 将 会 记录 服务 器 端 每 次 项 击 键盘 的 动作 ,所 以 一 旦 有 木马 
入 侵 , 密 码 将 很 容易 被 窃取 。 

(2) 文件 操作 。 控 制 端 可 依靠 远程 控制 对 服务 器 端的 文件 进行 删除 新建、 修改 .上 传 、 
下 载 . 运 行 , 更 改 属 性 等 一 系列 操作 ,基本 涵盖 了 Windows 平台 上 所 有 的 文件 操作 功能 。 

(3) 修改 注册 表 。 控 制 端 可 任意 修改 服务 器 端 注册 表 , 包 括 删除 .新建 或 修改 主键 . 子 
键 和 键 值 。 有 了 这 项 功能 ,控制 端 就 可 以 禁止 服务 器 端 软驱 .光驱 的 使 用 , 锁 住 服务 器 端的 
注册 表 , 将 服务 器 端 上 木马 的 触发 条 件 设置 得 更 隐蔽 等 。 

(4) 系统 操作 。 这 项 内 容 包 括 重启 或 关闭 服务 器 端 操作 系统 , 断 开 服务 器 端 网 络 连接 ， 
控制 服务 器 端的 鼠标 、 键 盘 ,监视 服务 器 端 桌面 操作 ,查看 服务 器 端 进程 等 ,控制 端 甚至 可 以 
随时 给 服务 器 端 发 送信 息 。 


2.6.5 木马 的 识别 和 清除 


1. 检查 木马 


知道 了 木马 的 攻击 原理 和 隐身 方法 ,就 可 以 采取 以 下 措施 进行 防御 。 

(1) 端口 扫描 。 端 口 扫描 是 检查 远程 机 器 有 无 木马 的 最 好 办 法 。 端 口 扫 描 的 原理 非常 
简单 ,扫描 程序 尝试 连接 某 个 端口 .如 果 成 功 , 则 说 明 端 口 开 放 ; 如 果 失 败 或 超过 某 个 特定 的 
时 间 ( 超 时 ), 则 说 明 端 口 关闭 。 但 对 于 驱动 程序 /动态 链接 库 木 马 ,扫描 端口 是 不 起 作用 的 。 

(2) 查看 连接 。 查 看 连接 和 端口 扫描 的 原理 基本 相同 .不 过 是 在 本 地 机 器 上 通过 运行 
netstat-an 命令 (或 某 个 第 三 方程 序 ) 查 看 所 有 的 TCP/UDP 连接 ,查看 连接 要 比 端口 扫描 


@ 
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快 ,但 同样 是 无 法 查 出 驱动 程度 /动态 链接 库 木 马 ,而 且 仅 仅 能 在 本 地 使 用 。 

(3) 检查 注册 表 。 木 马 可 以 通过 注册 表 启 动 (好 像 现在 大 部 分 的 木马 都 是 通过 注册 表 
启动 的 ,至 少 也 把 注册 表 作为 一 个 自我 保护 的 方式 ) ,那么 ,同样 可 以 通过 检查 注册 表 来 发 现 
木马 在 注册 表 里 留 下 的 痕迹 。 

(4) 查找 文件 。 查 找 木马 特定 的 文件 也 是 一 个 常用 的 方法 ,如 “冰河 ”木马 的 特征 文件 
是 kernel32. exe 和 sysexlpr. exe, 只 要 删除 这 两 个 文件 ,木马 就 已 经 不 起 作用 了 。 

另外 ,对 于 驱动 程度 /动态 链接 库 木 马 ,有 一 种 方法 可 以 尝试 ,使 用 Windows 的 “系统 文 
件 检 测 器 ,通过 【开始 了 人 程度 ] 代 附件] 系统 工具 了 系统 信息 了 工具] 可 以 运行 【系统 文 
件 检查 器 】〗, 用 【系统 文件 检查 器 3 可 检测 操作 系统 文件 的 完整 性 。 如 果 这 些 文件 损坏 ,检查 
器 可 以 将 其 还 原 , 检 查 器 还 可 以 从 安装 盘 中 解压 缩 已 压缩 的 文件 (如 驱动 程序 ) 。 如 果 驱 动 
程序 或 动态 链接 库 在 没有 升级 的 情况 下 被 改动 了 (或 者 被 损坏 了 ) ,就 有 可 能 是 木马 ,提取 改 
动 过 的 文件 可 以 保证 系统 的 安全 和 稳定 。 


2. 预防 和 清除 木马 


(1) 木马 的 预防 。 针 对 那些 已 知 使 用 特定 端口 的 木马 ,用 户 可 以 采取 关闭 其 所 使 用 端 
口 的 方法 ,达到 预防 木马 入 侵 的 目的 。 可 以 利用 * 本 地 安全 策略 ?关闭 特定 端口 ,详细 步骤 参 
考 灾 志 节 。 

(2) 木马 的 清除 。 根 据 木 马 的 攻击 原理 ,可 以 手工 清除 木马 ,但 是 大 多 数 用 户 都 是 通过 
各 种 杀毒 软件 .木马 专 杀 工 具 进 行 木 马 查 杀 的 。 

为 了 对 付 日 益 增加 的 木马 攻击 ,普通 的 杀毒 软件 也 加 入 了 对 木马 的 查 杀 ,例如 国内 的 三 
大 品牌 金山 .瑞星 . 江 民 ,国外 的 著名 品牌 诺顿 ,趋势 .NOD32 ,卡巴 斯 基 .AVG 等 。 

很 多 公司 开发 了 专门 针对 木马 的 清除 工具 ,其 中 比较 著名 的 有 The Cleaner、 木 马克 星 、 
微软 的 Malicious Software Removal Tool 等 ,专门 用 于 清除 包括 木马 在 内 的 恶意 软件 。 


2.7 木马 的 安装 及 使 用 
2.7.1 BO2K 概述 


在 国际 上 ,木马 程序 中 最 著名 的 当 属 BO2K (Back Orifice) ,以 多 功能 、 代 码 简洁 而 著 
称 。BO2K 程序 主要 分 成 以 下 三 部 分 。 

。 bo2k. exe: 这 是 服务 器 程序 , 它 的 作用 是 负责 执行 人 侵 者 的 命令 。 

。 bo2kgui. exe: 这 是 BO2K 的 客户 端 程序 ,其 作用 是 用 来 控制 服务 器 程序 执行 。 

。 bo2kcfg. exe: 这 是 服务 器 设置 程序 ,在 使 用 bo2k. exe 服务 器 程序 之 前 ,有 一 些 相关 

的 功能 必须 通过 它 来 进行 设置 .如 使 用 的 TCP/IP 端口 .程序 名 称 、 密 码 等 。 

另外 ,BO2K 还 支持 插件 功能 ,攻击 者 可 以 自己 编写 功能 更 强 的 插件 来 扩展 BO2K 的 

功能 。 
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2.7.2 BO2K 安装 与 使 用 步骤 


1. BO2K 的 安装 


BO2K 一 般 都 是 以 压缩 文件 在 网 站 (http://bo2k. sourceforge. net/) 上 发 布 的 ,下 载 并 
解压 后 ,打开 即 可 看 到 如 图 2-78 所 示 的 文件 ,包括 服务 器 bo2k. exe、 服 务 器 配置 工具 
bo2kcfg. exe、 客 户 端 bo2kgui. exe。 其 子 文件 夹 plugins 内 包含 用 于 扩展 服务 器 和 客户 端 功 
能 的 插件 。 


文件 ”编辑 (E) ”查看 (W 收藏 (&) 工具 (D 帮助 (H) 
地 址 (@) [局 ci 实验 案 材 bozk_1_1.6 [ED 


| 加 各 中 
芒 鲁 蛙 一 个 新 文件 天 Bgns) bokexe 。 bozkcfg.exe bozkgul.exe 
全 裤 广 信人 到 和 到 

及 共享 此 文件 夹 


gplbt readme,tbxt 


图 2-78 BO2K 文件 列表 


2. 服务 器 端 程序 的 配置 
(1) 服务 器 端 IP 设置 ,如 图 2-79 所 示 。 
可 到 | 


人 自动 获得 INs 服务 器 地 址 四 ) 
一 使 用 下 面 的 DNS 服务 器 地 址 四 一 一 一 
首选 DIS 服务 器 到) : | 
备用 DRS 服务 器 凶 ) .| 


图 2-79 服务 器 端 IP 设 置 
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(2) 启动 BO2K 的 配置 工具 。 运 行 bo2kcfg. exe, 单 击 Open Server( 打 开 服 务 器 ) 按 钮 ， 
输入 要 配置 的 服务 器 文件 ,选择 图 2-78 中 的 bo2k. exe, 结 果 如 图 2-80 所 示 。 


二 IE 
Curent Server File: 
Dpen 5 - 
|C:\ 实 验 素材 \bo2k_1_1_6\boak eve AM 


Server Info. = Bo2k Version 1.15 Saveseve _ | 
= Close Server | Be | 
Plugins Loaded | Option Variables | 


Back Oriice 2000 Server Configuration Utilty, Copyright [C) 2006. Bo2k Development Team 


图 2-80 ”服务 器 文件 配置 


(3) 插件 配置 。 单 击 Insert( 插 入 ) 按 钮 添加 插件 ,插件 放 在 如 图 2-78 所 示 的 plugins 文件 
夹 中 ,添加 的 插件 包括 auth .enc\io misc、srv 目录 下 的 所 有 DLL 文件 ,结果 如 图 2-81 所 示 。 


ozkservercohowoio OO 
Curent Server File: | 
Er TT py Dpen Server... 


Server Info. Bo2k Version 1.15 Save Server | 
- Close Server | En | 
Plugns Loaded | Option Variables | 


PugnName | Version| BO2KVer] Descripton 
嘱 authnuldl 10 TY BO2K Null Authentication 
哪 encndldl 10 11 BO2K Wussy NULL Encryption Mc Remove | 
中 io_tcp.dl 11 11 BO2K Simple Networking TCP 和 

io_udp dl 11 11 BO2K Simple Networking UDP | 
吁 BoChat dl 10 初 BO2K Direct Chat Manager Config Dump.. | 
只 misc_bopeep.dl 1.4 11 BO2K Video Manager 
本 Livekeyoooer. 10 11 BO2K Live Key Logger 
哪 siv_contoldl 12 11 BO2K Server Control 

11 BO2K Intemet Commands 
BO2K Legacy Buttplug Support | 
| 


Back Orifice 2000 Server Configuration Utilty. Copyright [C) 2006. Bo2k Development Team 


图 2-81 插件 配置 


(4) 服务 器 配置 。 单 击 Option Variables( 选 择 变量 ) 标 签 , 如 图 2-82 所 示 , 可 以 在 此 配 
置 BO2K 服务 器 所 使 用 的 网 络 通信 方式 .端口 号 .加 密 方 法 等 。 选 择 使 用 默认 配置 即 可 。 

(5) 单 击 Save Server( 保 存 服务 器 ) 按 钮 保存 配置 信息 ,然后 单 击 Exit( 退 出 ) 按 钮 退出 
配置 程序 。 
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+ 国 Statup 
Me Init Cmd Net Type 
Me 


Mc Init Cmd Encryption 
pe Init Cmd Auth 
-223 ldle Timeout [ms] 
Stealh 


图 2-82 ”服务 器 配置 
(6) 双击 bo2k. exe 就 可 以 运行 服务 器 程序 。 
3. 客户 端 程序 的 使 用 
(1) 客户 端 IP 参数 设置 ,如 图 2-83 所 示 。 


区 


图 2-83 客户 端 卫 设置 


假如 服务 器 端 程序 已 在 192. 168. 2. 152 上 运行 了 ,通信 方式 为 TCP ,端口 为 54320。 在 
另外 一 台 计 算 机 上 解压 BO2K1.1.6, 目 录 下 的 bo2kgui. exe 就 是 BO2K 的 客户 端 系统 。 
(2) 启动 bo2kgui. exe, 如 图 2-84 所 示 。 
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1 Untitled - BO2K Workspace lolxl 


Ele Edt Yew Plugns Help 


Server Li [7 Show Detail: Disconnect Check 


名 | [rsetine 


图 2-84 BO2K 客户 端 


(3) 插件 配置 。 单 击 Plugins( 插 件 )/Configure( 配 置 ) 命 令 ,出 现 如 图 2-85 所 示 的 对 话 
框 , 单 击 Insert 按钮 添加 插件 ,插件 在 如 图 2-78 所 示 的 plugins 文件 夹 中 。 添 加 的 插件 包括 
auth、enc,io、misc,cli 目 录 下 的 所 有 DLL 文件 。 可 以 通过 Option 列表 框 选择 插件 ,并 对 插 
件 进 行 配置 。 单 击 Done( 完 成 ) 按 钮 ,关闭 插件 配置 程序 。 


Plugin Configuration Ex)| 


Plugin Name | Ver... | BO2K Ver | Description = 
吧 C:\ 实 验 素 . .1.1 2 BO2K Simple Networking UDP 


ec:\ 实 验 素 ..， 1.0 3 BO2K Direct Chat Nanager 

呢 :C:\ 实 验 素 ...， 1.4 Ysf BO2K Video Manager 

ec: \ 实 验 素 1.0 | BO2K Live Key Logger | 
Insert... | Renove | 


Current 


ev 
外 Direct Chat | 
由 - 自 Bo Peep Set Value | 
由 口 Live Key Logger Switoh Settine 


RTisabled © Enabled 1 
one | 


图 2-85 客户 端 插件 配置 


(4) 添加 服务 器 。 在 客户 端 单 击 File( 文 件 )/New Server( 新 服务 器 ) 命 令 ,添加 一 个 服 
务 器 ,如 图 2-86 所 示 。 输 入 服务 器 的 地 址 和 名 称 . 在 Connection( 连 接 ) 下 拉 列 表 框 中 选择 
合适 的 版 本 (例如 选择 v1. 0)。 

(5) 启动 连接 。 添 加 服务 器 成 功 ,在 客户 端的 服务 器 列表 中 将 出 现 服 务 器 信息 ,如 
图 2-87 所 示 。 

(6) 双击 thTest, 出 现 连接 界面 ,然后 单 击 Connect( 连 接 ) 按 钮 ,启动 与 服务 器 的 连接 ， 
连接 成 功 后 出 现 如 图 2-88 所 示 的 控制 台 对 话 框 。 
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Edit these Back Orifice server 
properties to modify the server 
list. Choose appropriate 

conmection type, encryption and 


Name of this 


thTest 


Server 


192. 168. 2. 150:54320 


Connection 


Back Orifice TCP IO Module vi.0 $d 


NULLENC: BO2K NULL Encryption -| 
Authenticati 


ULLAUTH: Single User / Encrypt Only 疯 


eo | 


图 2-86 添加 新 服务 器 


WULLENC: BO. 


0 Server Connection 


thTest 


田 -Conpression 2| | Addr: 192.168.2.150:54320 
由 白 Legacy Buttplugs a 

由 -四 Registry 

由 - 国 Filey/Direetory P Nt guy 
由 -加 Reverser 一 
由 国 ME1 
由 - 国 Process Control 

日 自 System 


[Ly Reboot Nachine 
By Lockrup Nachine 
Ly List Passwords 


BD Get System Info 了 鲍 Ge | 


--> Version: Back Orifice 2000 (BOZK) vl.1.5 

System info for machine ‘XP-A' 

Current user: ‘Aduninistrator' 

Processor: I586 

indows NT v5.1 build 2600 

- Service Pack Z 

lemory: 255M in use: 484 Page file: 618H free: 509H 


图 2-88 ”对 远程 服务 器 的 控制 
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读者 可 参考 BO2K 的 文档 了 解 BO2K 服务 器 的 隐身 技术 并 做 测试 ;也 可 以 尝试 通过 
BO2K 获取 服务 器 上 E-mail、QQ 等 软件 的 口令 ;最 后 可 以 尝试 手工 清除 木马 。 


2.8 木马 防范 工具 的 使 用 


2.8.1 木马 克星 2009 简介 


木马 克星 (Iparmor) 是 一 款 适 合 网 络 用 户 的 安全 软件 , 既 有 面 对 新 手 的 扫描 内 存 和 扫描 
硬盘 功能 ,也 有 面 对 网 络 高 手 的 众多 调试 查看 系统 功能 。 木 马克 星 可 以 查 杀 5021 种 国际 木 
马 、112 种 电子 邮件 木马 ,保证 查 杀 冰河 类 文件 关联 木马 .QQ 类 寄生 木马 .ICMP 类 幽灵 木 
马 、 网 络 神偷 类 反弹 木马 。 其 内 置 木 马 防 火 墙 , 任 何 黑客 试图 与 本 机 建立 连接 ,都 需要 木马 
克星 确认 ,不仅 可 以 查 杀 木马 ,更 可 以 查 黑客 。 

木马 克星 2009 是 一 款 免费 软件 ,无 须 注册 即 可 以 使 用 所 有 功能 。 

木马 克星 2009 主要 分 两 大 部 分 的 内 容 : 功能 和 查看 。 其 中 "功能 ?部 分 (区 功能 1 菜单 ， 
如 图 2-89 所 示 ) 主 要 是 针对 一 般 用 户 的 ,其 主要 作用 是 扫描 硬盘 或 内 存 中 是 否 存 在 木马 ,并 
可 以 在 此 修改 一 些 设置 ;“ 查 看 ”部 分 ([ 查 看 ] 衣 单 ,如 图 2-90 所 示 ) 主 要 针对 高 级 用 户 ,主要 
作用 是 查看 一 些 网 络 信息 。 下 面 对 这 两 个 部 分 的 各 个 主要 选项 (命令 ) 作 简要 介绍 。 


家 提交 意 
扫描 内 存 系统 进程 


扫描 砚 盘 9 二 
设置 更 新 。 信任 列表 用 上 a 和。 查看 共享 
更 新 病毒 库 查看 系统 服务 
剧 新 管理 允许 访问 网 络 程序 扫描 所 有 磺 盘 
信任 文件 列表 尼 动 项 目 清除 木马 
修复 浏览 器 生成 hijackthis 日 志 | 
手工 清除 浏览 器 插件 隔离 区 a 
退出 日 志 
查看 系统 动作 记录 
也 
13 CiPROORAM FILESWMNAREIVMNARE TOCLSIVMNARESERYICE EXE 13 CipROGRAM FLESIVMWARE VMNARE TOOLSWVMNARESERVICE EXE 
图 2-89 【功能 菜单 图 2-90 【查看 菜单 
1.“ 功 能 "部 分 


(1) 扫描 内 存 。 软 件 启动 后 会 自动 进入 此 页 面 . 它 很 直观 地 显示 了 当前 内 存 中 有 没有 
木马 ,如 果 你 是 头 30 次 使 用 ,木马 克星 可 以 自动 帮助 你 清除 木马 ,不 需要 人 工 干预 。 当 然 ， 
每 日 都 有 两 三 种 新 的 木马 病毒 ,为 了 更 加 安全 ,还 是 需要 升级 木马 病毒 库 。 

(2) 扫描 硬盘 。 在 此 页 面 可 以 选择 是 否 清除 木马 ,在 输入 框 的 右边 可 以 选择 扫描 路 径 ， 
并 可 以 进行 全 硬盘 扫描 。 经 常 的 扫描 可 以 帮助 用 户 清除 硬盘 中 的 木马 。 我 们 推荐 每 周至 少 
扫描 1 次 。 

(3) 设置 。 可 以 选择 软件 是 否 在 Windows 启动 的 时 候 自 动 启动 ,这 个 防火 墙 主要 针对 
蠕虫 和 端口 监视 ,在 用 户 接收 E-mail 时 候 , 如 果 有 蠕虫 , 它 就 会 报警 。 当 有 黑客 试图 与 用 户 
计算 机 建立 连接 时 , 它 也 会 报警 。 推 荐 使 用 此 功能 ,扫描 选项 中 用 来 设置 硬盘 扫描 的 文件 类 
型 ,如 果 通 过 代理 连接 网 络 ,还 可 以 设置 代理 选项 。 
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(4) 更 新 病毒 库 。 建 议 用 户 每 5 天 更 新 1 次 ,如 果 更 新 时 提示 :“ 已 经 是 最 新 版 本 ,不 需 
要 升级 ”, 则 代表 已 经 用 了 最 新 版 本 ,不 需要 升级 。 
(5) 刷新 。 单 击 后 将 会 扫描 内 存 , 重 新 得 到 网 络 状 态 、 系 统 进程 启动 项 目的 信息 。 


2.“ 查 看 "部 分 


(1) 系统 进程 。 在 此 页 面 可 以 看 到 系统 中 都 有 哪些 程序 在 运行 ,用 鼠标 选择 后 ,可 以 用 
键盘 上 的 Delete 键 删除 进程 。 

(2) 网 络 状态 。 在 这 里 可 以 看 到 用 户 的 网 络 情况 ,TCP 协议 的 Listen 如 果 在 1025 端 
口 以 上 , 则 可 能 是 木马 。 

(3) 查看 共享 。 可 以 看 到 用 户 的 硬盘 是 否 在 网 络 中 公开 。 

(4) 启动 项 目 。 可 以 看 到 有 哪些 程序 随 Windows 一 起 运行 ,用 鼠标 选择 后 ,可 以 用 键 
盘 上 的 Delete 键 删除 进程 。 


2.8.2 木马 克星 2009 应 用 


1. 木马 克星 2009 的 下 载 与 安装 


(1) 从 木马 克星 网 站 (http://www. luosoft. com) 下 载 木马 克星 的 最 新 版 本 。 

(2) 双击 来 执行 木马 克星 2009 的 安装 文件 tu2. exe, 然 后 选择 【我 同意 此 协议 ] 复 选 框 ， 
并 单 击 【 下 一 步 3 按 钮 。 

(3) 根据 需要 选择 文件 安装 目标 位 置 (默认 为 C 盘 ) ,然后 单 击 【下 一 步 3 按 钮 。 

(4) 根据 提示 选择 默认 值 ,不 断 单 击 【 下 一 步 3 按 钮 ,然后 单 击 【 安 装 ] 按 钮 ,程序 会 自动 
安装 ;最 后 ,文件 程序 安装 完毕 , 单 击 【完成 按钮 即 可 。 

2. 对 木马 克星 2009 工具 进行 配置 

(1) 启动 木马 克星 2009 主 程序 。 启 动 木马 克星 2009 的 主 程序 iparmor. exe, 该 程序 在 
启动 后 首先 会 扫描 内 存 页 面 ,软件 启动 后 进入 如 图 2-91 的 界面 , 它 很 直观 地 显示 了 当前 内 
存 中 有 没有 木马 。 

(2) 设置 木马 拦截 选项 。 选 择 [ 功 能 ] 菜 单 中 的 [设置 3 命令 ,在 打开 的 [设置 3 对话 框 中 
单 击 【 木 马 拦 截 ] 标 签 , 可 以 对 木马 拦截 进行 设置 ,如 图 2-92 所 示 。 


友 网 络 拦截 (不 支持 98) 克 监视 网 络 信息 


网 监视 邮件 这 


把 精力 集中 在 木马 上 面 而 不 是 打击 
错 杀 的 垃 诉 品 算 ) 克 星 有 目 检验 模 


图 2-91 木马 克星 2009 程序 界面 图 2-92 设置 木马 拦截 选项 
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。 网 络 拦截 : 就 是 网 络 防 火 墙 ,拦截 一 切 非 法 程序 。 

。 监视 网 络 信 息 : 查看 谁 在 连接 本 地 主机 的 IP 地 址 。 

。 监视 邮件 : 主要 监视 POP3 类 型 的 邮箱 。 

。 密码 保护 : 主要 是 把 用 户 的 密码 都 伪装 成 iparmor 这 个 词组 ,所 有 其 他 盗窃 密码 的 
软件 所 看 到 的 都 将 是 iparmor。 

(3) 设置 扫描 选项 。 在 【设置 3 对话 框 的 [扫描 选项 3 选项 卡 中 ,可 以 对 扫描 选项 进行 设 
置 , 如 图 2-93 所 示 。 如 果 是 第 一 次 就 选取 扫描 全 部 文件 ,第 二 次 就 可 以 按照 图 片上 的 项 目 
有 目的 地 进行 选择 。 都 选择 好 之 后 , 单 击 【确认 3 按钮 进行 保存 设置 ,否则 选择 [放弃 按钮 。 


3. 扫描 木马 病毒 


单 击 工具 栏 上 的 【扫描 硬盘 按钮 ,在 打开 的 窗口 中 选中 [扫描 所 有 磁盘 】 和 【清除 木马 】 
这 两 个 复 选 框 ,如 图 2-94 所 示 。 单 击 【 扫 描 】 按 钮 ,就 开始 对 硬盘 进行 扫描 并 清除 查找 到 的 
木马 。 


所 | 拉 撕 讨 弟 文 全。 厂 扫描 sc 文件 。 厂 扫 揣 启动 项 目 


厢 扫描 娇 虫 所 扫描 广 汗 程 序 厂 扫描 所 有 文件 扫描 所 有 碰 盘 


克 扫描 dl 文件 厂 扫 揣 主页 厂 扫 揣 完毕 后 关机 国王 省 


厂 询问 是 否 删 除 。 ” 厂 慢 速 全 面 扫描 


排除 设置 加 


确认 
7 查 杀 木马 数量 : 223789 


图 2-93 设置 扫描 选项 图 2-94 扫描 硬盘 


2.9 流氓 软件 


流 起 软件 是 介 于 病毒 和 正规 软件 之 间 的 软件 。 流 氓 软件 同时 具备 正常 功能 (下 载 、 媒 体 
播放 等 ) 和 恶意 行为 ( 弹 广告 . 开 后 门 ) ,会 给 用 户 带 来 实质 性 危害 。 这 些 软件 也 可 能 被 称 为 
恶意 广告 软件 .间谍 软件 、 恶 意 共 享 软件 。 与 病毒 或 者 蠕虫 不 同 ,这 些 软 件 很 多 不 是 小 团体 
或 者 个 人 秘密 地 编写 和 散播 ,反而 有 很 多 知名 企业 和 团体 涉嫌 此 类 软件 ,其 中 以 雅虎 旗下 的 
3721 最 为 知名 和 普遍 ,也 比较 典型 。 该 软件 采用 多 种 技术 手段 强行 安装 和 对 抗 删除 。 很 多 
用 户 投诉 是 在 不 知情 的 情况 下 遭 到 安装 ,而 其 多 种 反 印 载 和 自动 恢复 技术 使 得 很 多 软件 专 
业 人 员 也 感到 难以 对 付 ,以 至 于 其 秃 载 方法 成 为 网 站 上 常常 被 讨论 和 咨询 的 技术 问题 。 


2.9.1 流 谍 软件 的 主要 特征 


流氓 软件 是 指 在 未 明确 提示 用 户 或 未 经 用 户 许 可 的 情况 下 ,在 用 户 计算 机 或 其 他 终端 
上 安装 运行 侵害 用 户 合法 权益 的 软件 ,但 不 包含 中 国法 律 .法规 规定 的 计算 机 病毒 。 
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流氓 软件 的 主要 特征 表现 为 以 下 几 个 方面 。 

(1) 强制 安装 : 指 未 明确 提示 用 户 或 未 经 用 户 许可 ,在 用 户 计算 机 或 其 他 终端 上 安装 
软件 的 行为 。 

(2) 难以 印 载 : 指 未 提供 通用 的 卸载 方式 ,或 在 不 受 其 他 软件 影响 、 人 为 破坏 的 情况 
下 , 印 载 后 仍然 有 活动 程序 的 行为 。 

(3) 浏览 器 劫持 : 指 未 经 用 户 许可 ,修改 用 户 浏览 器 或 其 他 相关 设置 ,迫使 用 户 访问 特 
定 网 站 或 导致 用 户 无 法 正常 上 网 的 行为 。 

(4) 广告 弹出 : 指 未 明确 提示 用 户 或 未 经 用 户 许可 ,利用 安装 在 用 户 计算 机 或 其 他 终 
端 上 的 软件 弹出 广告 的 行为 。 

(5) 恶意 收集 用 户 信息 : 指 未 明确 提示 用 户 或 未 经 用 户 许可 ,恶意 收集 用 户 信息 的 
行为 。 

(6) 恶意 卸载 : 指 未 明确 提示 用 户 、 未 经 用 户 许可 ,或 误导 、 欺 骗 用 户 印 载 其 他 软件 的 


和 


1 


为 。 
(7) 恶意 搁 绑 : 指 在 软件 中 捆绑 已 被 认定 为 恶意 软件 的 行为 。 
(8) 其 他 行为 : 包括 其 他 侵害 用 户 软 件 安装 ,使 用 和 旬 载 知情 权 .选择 权 的 恶意 行为 。 


2.9.2 流氓 软件 的 分 类 


流氓 软件 主要 包括 : 广告 软件 、 浏 览 器 劫持 ,行为 记录 软件 .恶意 共享 软件 .搜索 引擎 劫 
持 软 件 .自动 拨号 程序 .网络 钓鱼 和 垃圾 邮件 等 。 

(1) 广告 软件 (Adware) : 广告 软件 指 未 经 用 户 允 许 , 下 载 并 安装 在 用 户 计算 机 上 ;或 与 
其 他 软件 捆绑 ,通过 弹出 式 广告 等 形式 谋取 商业 利益 的 程序 。 

(2) 浏览 器 劫持 (Brower Hijack) : 浏览 器 劫持 是 一 种 恶意 程序 ,通过 浏览 器 搬 件 .BHO 
(浏览 器 辅助 对 象 )、Winsock LSP 等 形式 对 用 户 的 浏览 器 进行 算 改 ,使 用 户 的 浏览 器 配置 
不 正常 ,或 被 强行 引导 到 商业 网 站 。 

(3) 行为 记录 软件 (Track Ware) : 行为 记录 软件 指 未 经 用 户 许 可 ,窃取 并 分 析 用 户 隐 
私 数据 ,记录 用 户 计算 机 使 用 习惯 、 网 络 浏览 习惯 等 个 人 行为 的 软件 。 

(4) 恶意 共享 软件 (Malicious Shareware) : 恶意 共享 软件 指 采用 不 正当 的 捆绑 或 不 透 
明 的 方式 强制 安装 在 用 户 的 计算 机 上 ,并 且 利 用 一 些 病 毒 常 用 的 技术 手段 造成 软件 很 难 被 
务 载 ,或 采用 一 些 非法 手段 强制 用 户 购 买 免费 共享 软件 。 

(5) 搜索 引擎 劫持 软件 : 搜索 引擎 劫持 是 指 未 经 用 户 授权 ,自动 修改 第 三 方 搜索 引擎 
结果 的 软件 。 

(6) 自动 拨号 程序 (Dialer) : 自动 拨号 程序 指 自动 下 载 并 安装 到 用 户 的 计算 机 上 ,并 隐 
藏 在 后 台 运 行 。 它 会 自动 拨打 长 途 或 收费 电话 ,以 赚 取 用 户 高 额 的 电话 费用 。 

(7) 网 络 钓鱼 (Phishing) : 网 络 钓 鱼 一 词 ,是 “Phone” 和 “Fishing” 的 综合 体 。 由 于 黑客 始 
祖 起 初 是 以 电话 作案 ,所 以 用 “Ph” 来 取代 *F”, 创 造 了 “Phishing”。Phishing 发 音 与 Fishing 相 
同 。 网 络 钓鱼 是 指 攻 击 者 利用 欺骗 性 的 电子 邮件 和 伪造 的 Web 站 点 来 进行 网 络 诈骗 活动 , 受 
骗 者 往往 会 泄露 自己 的 私人 资料 ,如 信用 卡号 ,银行 卡 账户 、 身 份 证 号 等 内 容 。 诈 骗 者 通常 会 
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将 自己 伪装 成 网 络 银行 在线 零售 商 和 信用 卡 公司 等 可 信 的 品牌 ,骗取 用 户 的 私人 信息 。 

(8) 垃圾 邮件 (Spam) : 垃圾 邮件 也 是 非常 熟悉 和 讨厌 的 一 种 恶意 软件 ,平常 所 收 到 的 
邮件 中 至 少 有 一 半 以 上 的 邮件 都 是 不 请 自 来 的 垃圾 邮件 。 这 些 垃圾 邮件 中 ,有 的 是 商业 广 
告 , 有 的 则 带 有 病毒 文件 和 图 片 , 还 有 些 是 不 健康 的 交友 宣传 等 。 


2.9.3 流氓 软件 的 防范 


防止 流氓 软件 入 侵 的 方法 主要 有 以 下 几 个 方面 : 

(1) 养 成 良好 健康 的 上 网 习惯 ,不 访问 不 良 网 站 ,不 随便 点 击 小 广告 。 

(2) 下 载 要 安装 的 软件 尽量 到 该 软件 的 官方 网 站 ,或 者 到 信任 度 高 的 下 载 站 点 进行 
下 载 。 

(3) 安装 软件 的 时 候 , 每 个 安装 步骤 最 好 能 仔细 看 清楚 ,防止 拥 绑 软件 入 侵 。 


(4) 安装 如 360 安全 卫士 等 安全 类 软件 ,定时 对 系统 做 诊断 , 查 杀 流氓 软件 ,如 图 2-95 
所 示 。 
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图 2-95 用 360 安全 卫士 查 杀 流氓 软件 


2.10 习 题 


1. 简 述 计算 机 病毒 的 主要 特点 。 

2. 简 述 计算 机 病毒 有 哪 几 种 分 类 。 

3. 简 述 不 同类 型 病毒 的 特征 和 危害。 

4. 简 述 计算 机 病毒 的 发 展 趋势 。 

5. 简 述 部 署 企 业 网 络 防 病毒 系统 的 步骤 。 

6. 比较 蠕虫 病毒 与 计算 机 病毒 ,它们 的 区 别 在 哪里 ? 


te 


和 > 第 2 章 ， 病毒 、 蠕 虫 和 木马 的 清除 与 预防 
RNS 


7. 蠕虫 病毒 的 预防 措施 主要 有 哪些 ? 

8. 简 述 狙击 波 蠕虫 的 预防 方法 和 步骤 。 

9. 简 述 木马 的 组 成 。 木 马 软件 部 分 主要 由 什么 组 成 ? 
10. 木马 有 哪些 危害 ? 

11. 识别 和 清除 木马 的 方法 有 哪些 ? 

12. 如 何 防范 流氓 软件 ? 


[i 
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本 章 学 习 目 标 
。 掌握 黑客 攻击 的 方法 、 步 骤 和 原理 。 
。 掌握 拒绝 服务 攻击 的 原理 、 应 用 与 防御 方法 。 


网 络 就 像 一 个 潘多拉 魔 盒 ,光怪陆离 .无 所 不 有 。 网 络 在 给 和 人们 的 生活 带 来 无 穷 乐趣 的 
同时 ,在 一 般 人 不 留意 的 网 络 深 处 ,还 存在 着 一 群 神秘 的 群体 一 一 黑客 ! 是 他 们 使 网 络 充斥 
着 太 多 的 骗局 和 陷阱 ,不 时 地 令 冲 浪 者 防不胜防 ,这 个 无 法 回避 的 事实 告 诚 人 们 : 在 网 上 要 
时 刻 保持 足够 的 警惕 ,那么 应 如 何 做 呢 ? 


3.1 认识 黑客 及 其 攻击 手段 
3.1.1 黑客 与 黑客 攻击 


黑客 (Hacker) 是 一 群 对 计算 机 有 着 强烈 好 奇 心 且 技术 高 超 的 计算 机 精英 ,他 们 具有 操 
作 系统 和 编程 方面 的 高 级 知识 ,知道 系统 中 的 漏洞 及 其 原因 所 在 ;他 们 是 非法 的 人 侵 者 。 

黑客 攻击 其 实质 就 是 指 利 用 被 攻击 方 信息 系统 自身 存在 的 安全 漏洞 ,通过 使 用 网 络 命 
令 和 专用 软件 进入 对 方 网 络 系 统 的 攻击 。 


3.1.2 黑客 攻击 的 手段 


目前 黑客 网 络 攻击 的 类 型 主要 有 以 下 几 种 : 

(1) 利用 监听 嗅 探 技术 获取 对 方 网 络 上 传输 的 有 用 信息 。 

(2) 利用 拒绝 服务 攻击 ,使 目的 网 络 暂时 或 永久 性 瘫痪 。 

(3) 利用 网 络 协议 上 存在 的 漏洞 进行 网 络 攻击 。 

(4) 利用 系统 漏洞 ,例如 缓冲 区 溢出 或 格式 化 字符 串 等 ,以 获得 目的 主机 的 控制 权 。 
(5) 利用 网 络 数据 库存 在 的 安全 漏洞 ,获取 或 破坏 对 方 的 重要 数据 。 

(6) 利用 计算 机 病毒 传播 快 、 破 坏 范围 广 的 特性 ,开发 合适 的 病毒 破坏 对 方 网 络 。 
以 上 类 型 所 采用 的 攻击 手法 主要 有 如 下 几 种 。 
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1. 网 络 监听 


最 初 ,网 络 嗅 探 是 应 用 于 网 络 管理 ,就 像 远程 控制 软件 一 样 , 但 后 来 这 些 强 大 的 功能 逐 
渐 被 黑客 们 利用 。 最 普遍 的 安全 威胁 来 自 内 部 ,同时 这 些 威胁 通常 都 是 致命 的 ,其 破坏 性 也 
远大 于 外 部 威胁 。 对 于 安全 防护 一 般 的 网 络 ,使 用 网 络 嗅 探 这 种 方法 操作 简单 ,而 且 同时 威 
胁 巨 大 。 很 多 黑客 也 使 用 嗅 探 器 进行 网 络 人 侵 的 渗透 。 网 络 嗅 探 器 对 信息 安全 的 威胁 来 自 
其 被 动 性 和 非 干扰 性 ,使 得 网 络 嗅 探 具有 很 强 的 隐蔽 性 ,往往 让 网 络 信息 泄密 变 得 不 容易 被 
发 现 。 

对 于 网 络 嗅 探 攻击 ,可 以 采取 以 下 一 些 措施 来 应 对 。 

(1) 网 络 分 段 : 一 个 网 络 段 包括 一 组 共享 低层 设备 和 线路 的 机 器 ,如 交换 机 ,动态 集 线 
器 和 网 桥 等 设备 ,可 以 对 数据 流 进行 限制 ,从 而 达到 防止 嗅 探 的 目的 。 

(2) 加 密 : 一 方面 可 以 对 数据 流 中 的 部 分 重要 信息 进行 加 密 ; 另 一 方面 也 可 只 对 应 用 
层 加 密 , 然 而 后 者 将 使 大 部 分 与 网 络 和 操作 系统 有 关 的 敏感 信息 失去 保护 。 选 择 何 种 加 密 
方式 就 取决 于 信息 的 安全 级 别 及 网 络 的 安全 程度 。 

(3) 一 次 性 口令 技术 : 口令 并 不 在 网 络 上 传输 ,而 是 在 两 端 进 行 字符 串 匹配 ,客户 端 利 
用 从 服务 器 上 得 到 的 Challenge 和 自身 的 口令 计算 出 一 个 新 字符 串 ,并 将 之 返回 给 服务 器 。 
在 服务 器 上 利用 比较 算法 进行 匹配 ,如 果 匹 配 连接 就 允许 建立 ,所 有 的 Challenge 和 字符 串 
都 只 使 用 一 次 。 

(4) 禁用 混杂 节点 : 安装 不 支持 混杂 模式 的 网 卡 ,通常 可 以 防止 IBM 兼容 机 进行 嗅 探 。 


2. 拒绝 服务 攻击 


拒绝 服务 攻击 是 目前 最 常见 的 一 种 攻击 类 型 。 从 网 络 攻击 的 各 种 方法 和 所 产生 的 破坏 
情况 来 看 ,DoS(Denial of Service, 拒 绝 服务 ) 算 是 一 种 很 简单 但 又 很 有 效 的 进攻 方式 , 它 的 
目的 就 是 拒绝 服务 访问 ,破坏 组 织 的 正常 运行 ,最 终 使 网 络 连接 堵塞 ,或 者 服务 器 因 疲 于 处 
理 攻 击 者 发 送 的 数据 包 而 使 服务 器 系统 的 相关 服务 崩溃 .系统 资源 耗 尽 ,其 原理 如 图 3-7 
所 示 。 

DoS 攻击 方式 有 很 多 ,最 基本 的 就 是 利用 合理 的 服务 请 求 来 占用 过 多 的 服务 资源 ,从 而 
使 合法 用 户 无 法 得 到 服务 。DoS 攻击 的 基本 过 程 如 下 : 首先 攻击 者 向 服务 器 发 送 众多 的 带 
有 虚假 地 址 的 请 求 ,服务 器 发 送 回复 信息 后 等 待 回 传 信息 。 由 于 地 址 是 伪造 的 ,所 以 服务 器 
一 直 等 不 到 回 传 的 消息 ,然而 服务 器 中 分 配给 这 次 请 求 的 资源 就 始终 没有 被 释放 。 当 服务 
器 等 待 一 定 的 时 间 后 ,连接 会 因 超时 而 被 切断 ,攻击 者 会 再 度 传送 新 的 一 批 请 求 ,在 这 种 反 
复发 送 伪 地 址 请 求 的 情况 下 ,服务 器 资源 最 终 会 被 耗 尽 。 

DDoS(Distributed Denial of Service ,分布 式 拒绝 服务 ) 是 一 种 基于 DoS 的 特殊 形式 的 
分 布 ,协作 式 的 大 规模 拒绝 服务 攻击 。 也 就 是 说 不 再 是 单一 的 服务 攻击 ,而 是 同时 实施 几 个 
甚至 十 几 个 不 同 服务 的 拒绝 攻击 。 由 此 可 见 , 它 的 攻击 力度 更 大 ,危害 性 当然 也 更 大 了 。 它 
主要 瞒 准 比 较 大 的 网 站 , 像 商业 公司 ,搜索 引擎 和 政府 部 门 的 Web 站 点 。 

防火 墙 和 VPN(Virtual Private Network .虚拟 专用 网 ) 是 目前 阻挡 DoS 攻击 的 常用 设 
备 。 其 中 ,防火 墙 作 为 访问 控制 设备 ,通过 设计 访问 策略 ,能 够 对 DoS 攻击 起 到 一 定 防范 作 
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用 。 不 过 , 当 防 火 墙 依据 多 重 安全 规则 ,对 不 同 服务 进行 数据 包 过 滤 和 代理 时 ,容易 导致 系 
统管 理 者 将 防火 墙 的 环境 设 定 错误 ,而 留 下 一 些 系统 安全 漏洞 ,让 入 侵 者 有 机 可 乘 。 


3. 源 IP 地 址 欺骗 


许多 应 用 程序 认为 如 果 数 据 包 能 够 使 其 自身 沿 着 路 由 到 达 目 的 地 ,而 且 应 答 包 也 可 以 
回 到 源 地 ,那么 源 IP 地 址 一 定 是 有 效 的 ,而 这 正 是 使 源 IP 地 址 欺骗 攻击 成 为 可 能 的 前 提 。 

要 防止 源 IP 地 址 欺骗 行为 ,可 以 采取 以 下 措施 来 尽 可 能 地 保护 系统 免 受 攻击 。 

(1) 抛弃 基于 地 址 的 信任 策略 : 阻止 这 类 攻击 的 一 种 非常 容易 的 办 法 就 是 放弃 以 地 址 
为 基础 的 验证 。 不 允许 r 类 远程 调用 命令 删除 . rhosts 文件 ,清空 /etc/hosts 下 的 equiv 文 
件 。 这 将 迫使 所 有 用 户 使 用 其 他 远程 通信 手段 ,如 Telnet、ssh 和 skey 等 。 

(2) 使 用 加 密 方法 : 在 包 发 送 到 网 络 上 之 前 ,可 以 对 它 进行 加 密 。 虽 然 加 密 过 程 要 求 
适当 改变 目前 的 网 络 环境 ,但 它 将 保证 数据 的 完整 性 和 真实 性 。 

(3) 进行 包 过 滤 : 可 以 配置 路 由 器 使 其 能 够 拒绝 网 络 外 部 与 本 网 内 具有 相同 IP 地 址 的 
连接 请 求 。 而 且 , 当 包 的 IP 地 址 不 在 本 网 内 时 ,路 由 器 不 应 该 把 本 网 主机 的 包 发 送出 去 。 


苞 注 意 ; 路 由 器 虽然 可 以 封锁 试图 到 达 内 部 网 络 的 特定 类 型 的 包 , 但 它们 也 是 通过 
分 析 测 试 源 地 址 来 实现 操作 的 ,因此 ,它们 仅 能 对 声称 是 来 自 于 内 部 网 络 的 外 来 包 进 行 过 
滤 。 若 你 的 网 络 存在 外 部 可 信任 主机 ,那么 路 由 器 将 无 法 防止 别人 冒充 这 些 主机 进行 IP 
欺骗 。 


4. 源 路 由 欺骗 攻击 


在 通常 情况 下 ,信息 包 从 起 点 到 终点 走 过 的 路 径 是 由 位 于 此 两 点 间 的 路 由 器 决定 的 , 数 
据 包 本 身 只 知道 去 往 何 处 ,但 不 知道 该 如 何 去 。 源 路 由 可 使 信息 包 的 发 送 者 将 此 数据 包 要 
经 过 的 路 径 写 在 数据 包 里 ,使 数据 包 循 着 一 个 对 方 不 可 预料 的 路 径 到 达 目 的 主机 。 

对 付 这 种 攻击 最 好 的 办 法 是 配置 好 路 由 器 ,使 它 抛 弃 那 些 由 外 部 网 进来 的 却 声称 是 内 
部 主机 的 报 文 。 


5. 缓冲 区 溢出 


为 了 便于 理解 ,我 们 不 妨 打 个 比方 。 缓 冲 区 溢出 好 比 是 将 10 磅 的 糖 放 进 一 个 只 能 装 
5 磅 的 容器 里 。 一 旦 该 容器 放 满 了 ,余下 的 部 分 就 溢出 在 柜台 和 地 板 上 ,和 弄 得 一 团 糟 。 由 于 
计算 机 程序 的 编写 者 写 了 一 些 编码 :但 是 这 些 编码 没有 对 目的 区 域 或 缓冲 区 , 即 5 磅 的 容器 
做 适当 的 检查 ,看 它们 是 否 够 大 ,能 否 完全 装 和 人 新 的 内 容 一 一 10 磅 的 糖 ,结果 可 能 造成 缓冲 
区 溢出 的 产生 。 如 果 打 算 放 进 新 地 方 的 数据 不 适合 ,到 处 溢出 ,该 数据 也 会 制造 很 多 麻烦 。 
但 是 ,如 果 缓 冲 区 仅仅 溢出 :这 只 是 一 个 问题 。 到 此 时 为 止 , 它 还 没有 破坏 性 。 当 糖 溢出 时 ， 
台 被 盖 住 。 可 以 把 糖 探 掉 或 用 吸尘器 吸 走 ,还 柜台 本 来 面貌 。 与 之 相对 的 是 , 当 缓冲 区 浇 
出 时 ,过 剩 的 信息 覆盖 的 是 计算 机 内 存 中 以 前 的 内 容 。 除 非 这 些 被 覆盖 的 内 容 被 保存 或 能 
够 恢复 ,否则 就 会 永远 丢失 。 
缓冲 区 溢出 是 病毒 编写 者 和 特洛伊 木马 编写 者 偏爱 使 用 的 一 种 攻击 方法 。 攻 击 者 或 者 
病毒 善于 在 系统 当中 发 现 容易 产生 缓冲 区 溢出 之 处 ,以 运行 特别 程序 ,并 获得 优先 级 ,指示 
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计算 机 破坏 文件 ,改变 数据 ,泄露 敏感 信息 ,产生 后 门 访问 点 ,感染 或 者 攻击 其 他 计算 机 。 
webdavx3. exe 是 针对 Windows 2000 中 文 版 的 溢出 工具 ,不 用 NC 监听 端口 ,溢出 成 功 
后 直接 用 Telnet ip 7788 操作 即 可 。 
防范 措施 如 下 : 设置 复杂 的 开机 密码 ;关闭 Telnet 服务 。 


6. 密码 攻击 


密码 攻击 通过 多 种 不 同方 法 实现 ,包括 蛮 力 攻击 (brute force attack) 特洛伊 木马 程 
序 .IP 欺骗 和 报 文 嗅 探 。 尽 管 报 文 嗅 探 和 IP 欺骗 可 以 捕获 用 户 账号 和 密码 ,但 密码 攻击 通 
常 指 的 是 反复 地 试探 ,验证 用 户 账号 或 密码 ,这 种 反复 试探 被 称 为 蛮 力 攻击 。 

其 防范 措施 如 下 : 

(1) 使 用 有 效 安 全 的 密码 。 主 要 包括 密码 应 当 遵 循 字 母 、 数 字 、 大 小 写 混合 使 用 的 
规则 。 

(2) 使 用 如 # 或 % 或 $ 这样 的 特殊 字符 也 能 增加 密码 的 复杂 性 。 


7. 应 用 层 攻 击 


应 用 层 攻 击 能 够 使 用 多 种 不 同 的 方法 来 实现 ,最 常见 的 方法 是 使 用 服务 器 上 通常 可 找 
到 的 应 用 软件 (如 SQL Server、Sendmail、PostScript 和 FTP) 缺 陷 , 通 过 使 用 这 些 缺 陷 , 攻 击 
者 能 够 获得 计算 机 的 访问 权 , 以 及 在 该 计算 机 上 运行 相应 应 用 程序 所 需 账户 的 许可 权 。 

在 应 用 层 攻 击 中 ,容易 遭受 攻击 的 目标 包括 路 由 器 数据 库 `Web 和 FTP 服务 器 及 与 
协议 相关 的 服务 ,如 DNS、WINS 和 SMB。 

防范 方法 如 下 : 

(1) 避免 下 载 可 疑 程序 并 拒绝 执行 ,运用 网 络 扫描 软件 定期 监视 内 部 主机 并 监听 TCP 
服务 。 

(2) 通过 数据 加 密 和 身份 认证 (如 智能 卡 一 次 性 口令 等 ) 来 保护 数字 资产 ,防止 未 经 授 
权 泄 露 重要 电子 信息 。 


3.2 黑客 攻击 的 基本 步骤 


黑客 攻击 的 基本 步骤 可 以 用 图 3-1 来 表示 。 


查 3 
查 找 查 六 
址 机 和 统 着 
昌 范 器 人 类 前 
国 上 用 服 
点 和 

图 3-1 黑客 攻击 的 基本 步骤 
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3.2.1 收集 初始 信息 


黑客 们 总 是 希望 知道 尽 可 能 多 的 信息 ,比如 ,是 否 联 网 、 内 部 网 络 的 架构 以 及 安全 防范 
背 施 的 状态 。 

收集 初始 信息 可 先 获 取 IP 地 址 。 获 取 IP 地 址 的 简单 方法 是 用 ping 命令 ,设法 把 主机 
名 解析 为 IP 地 址 并 输出 到 屏幕 。 例 如 使 用 ping hao123. com 命令 ,可 以 得 到 hao123 网 址 
之 家 网 站 的 IP 地 址 。 但 如 果 网 络 不 顺畅 ,将 会 出 现 如 图 3-2 所 示 的 结果 。 处 理 方法 是 查看 
网 络 连接 状态 ,重新 用 ping 命令 。 当 攻击 者 得 到 网 络 的 IP 地 址 ,能够 把 此 网 络 当 作 初始 攻 
击 点 。 


BEE 


0. Lost = 4 《198x loss)。 


图 3-2 Ping hao123 网 址 之 家 的 结果 显示 


3.2.2 查找 网 络 地 址 范围 


当 攻击 者 有 一 些 机 器 的 IP 地 址 后 ,下 一 步 就 需要 找 出 网 络 的 地 址 范围 或 者 子 网 掩 码 ， 
以 保证 能 集中 精力 对 付 一 个 网 络 而 没有 问 入 其 他 网 络 。 这 样 做 有 两 个 原因 .: 第 一 ,假设 有 
地 址 10. 50. 60.7, 要 扫描 整个 A 类 地 址 需要 一 段 时 间 , 如 果 正 在 跟踪 的 目标 只 是 地 址 的 一 
个 小 子 集 ,那么 就 无 须 浪 费时 间 ; 第 二 ,一 些 公司 有 比 其 他 公司 更 好 的 安全 性 ,因此 跟踪 较 大 
的 地 址 空间 增加 了 危险 。 

在 Internet 上 ,信息 的 传送 是 通过 网 中 许多 段 的 传输 介质 和 设备 (路 由 器 交换机、 服务 
器 .网关 等 ) 从 一 端 到 达 另 一 端 。 每 一 个 连接 在 Internet 上 的 设备 ,如 主机 、 路 由 器 、 接 入 服 
务 器 等 ,一般 情况 下 都 会 有 一 个 独立 的 IP 地址。 通过 tracert 命令 可 以 知道 信息 从 当前 计 
算 机 到 互联 网 另 一 端的 主机 走 的 是 什么 路 径 。 

连接 到 Internet 上 的 公司 有 一 个 外 部 服务 器 把 网 络 连 到 ISP 或 者 Internet 上 ,所 有 去 
公司 的 流量 必须 通过 外 部 路 由 器 ,否则 没有 办 法 进入 网 络 。 并 且 大 多 数 公司 有 防火 墙 ， 
所 以 tracert 输出 的 最 后 一 跳 会 是 目的 机 器 ,倒数 第 二 跳 会 是 防火 墙 ,倒数 第 三 跳 会 是 外 
部 路 由 器 。 通 过 相同 外 部 路 由 器 的 所 有 机 器 属于 同一 网 络 ,通常 也 属于 同一 公司 。 因 此 
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过 tracert 到 达 的 各 种 IP 地 址 ,看 这 些 机 器 是 否 通过 相同 的 外 部 路 由 器 ,就 


知道 它们 是 否 属于 同一 网 络 。 例 如 使 用 tracert 命令 可 以 查看 某 台 计算 机 到 达 网 易 网 站 


的 路 由 点 ,如 图 3-3 所 示 。 


-Com [228.181 .28. 


d out. 


Trace complete- 


Ic 


53] 


-dynamic .163data.com.cn 


图 3-3 使 用 tracert 命令 的 结果 


3.2.3 查找 活动 机 器 


在 知道 了 IP 地 址 范围 后 ,攻击 者 会 想 知道 哪些 机 器 是 活动 的 ,哪些 不 是 


中 不 同 的 时 间 有 不 同 的 机 器 在 活动 。 一 般 攻 


9 Ping War 2-0 


击 者 在 白天 寻找 活动 的 机 器 ,然后 在 深夜 再 和 


次 查找 ,他 就 能 区 分 工作 站 和 服务 器 ,因为 服 ‖ no 所 襄 


| Besl32 


务 器 会 一 直 被 使 用 ,而 工作 站 只 在 正常 工作 sw 而 em 


N59 Time Out 


是 活动 的 
是 活动 的 。 Ne 


| Status 


使 用 ping 可 以 找到 网 络 上 哪些 机 器 是 活 |‖22018123150 


220.181.23.151 


jp ing 有 一 个 缺点 ,一 次 只 能 ping 一 中 zsr2a152 
动 的 。 但 ping 有 一 个 缺点 ,一 次 只 能 ping 2 


台 机 器 。 攻 击 者 希望 同时 ping 多 台 机 器 ,看 | 强 昌 名 ] 吕 


220.181.29.155 
哪些 有 反应 , 这 种 技术 一 般 被 称 为 Ping | 名 多 有 二 
Sweeping。 可 以 使 用 Ping War 程序 。 图 3-4 i 3 
所 示 是 使 用 Ping War 程序 查找 活动 机 器 。 
查找 结果 与 网 络 是 否 畅 通 有 关 , 不 同 的 网 站 
因 防 范 措 施 不 同 ,会 有 不 同 的 显示 结果 。 
Nmap 软件 也 能 用 来 确定 哪些 机 器 是 活动 的 。 


Request timed out 
Request timed out 
Request timed out 
Request timed out 
Request timed out 
Request timed out 
Request timed out 
Request timed out 
Request timed out 
Request timed out 


用 Ping War 查找 活动 机 器 


;公司 里 一 天 
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3.2.4 ”查找 开放 端口 和 入 口 点 


网 络 通信 除了 需要 知道 目标 IP 地 址 外 ,还 需要 知道 对 方 开放 的 端口 。 所 以 黑客 攻击 前 
也 要 知道 可 以 利用 的 端口 ,此 时 可 以 利用 Port Scanners( 端 口 扫描 器 ) 工 具 软 件 进行 。 端 口 
扫描 器 在 一 系列 端口 上 运行 可 以 找 出 哪些 是 开放 的 。 
选择 端口 扫描 仪 的 两 个 关键 特征 : 首先 它 能 一 次 扫描 一 个 地 址 范围 ;其 次 它 能 设 定 程 
序 扫描 的 端口 范围 (能 扫描 1~65 535 的 整个 范围 ) 。 
可 以 使 用 nmap 的 命令 方式 ,目前 流行 的 扫描 类 型 TCP conntect 扫描 ,TCP SYN 扫 
撒 、FIN 扫描 、ACK 扫描 。 图 3-5 所 示 是 TCP SYN 的 扫描 结果 。 


WINNT\system32\ 


>nmap -sS 192.168.6.179 


ting ports on 19 
wn: 1788 closed ports 
STATE S 
open 
open 
open 
open 
open 
open 


iga-Byte Technology C 


INmap done: 1 IP Pess st up> scanned in 1.859 seconds 


IC: 


图 3-5 TCP SYN 扫描 结果 


3.2.5 查看 操作 系统 类 型 


可 以 使 用 nmap 中 的 -O 选项 激活 对 TCP/IP 指纹 特征 (fingerprinting) 的 扫描 ,获得 远 
程 主机 的 标志 。 即 nmap 使 用 一 些 技术 检测 目标 主机 操作 系统 网 络 协议 栈 的 特征 ,把 它 和 
已 知 的 操作 系统 指纹 特征 数据 库 做 比较 ,就 可 以 知道 目标 主机 操作 系统 的 类 型 。 如 图 3-6 
所 示 是 用 nmap 查看 IP 地 址 为 192. 168. 6. 170 的 远程 主机 的 操作 系统 。 


3.2.6 和 弄 清 每 个 端口 运行 的 服务 


弄 清 楚 每 个 端口 运行 的 服务 可 以 有 多 种 方法 ,简要 介绍 如 下 : 
(1) default port and OS 是 基于 公有 的 配置 和 软件 ,攻击 者 能 够 比较 准确 地 判断 出 每 个 


本 


和 第 3 章 ”黑客 攻击 及 其 防御 


Not shown: 1788 clos 
STATE S 
open 
open 
open 


open 
open 
open 


42 (Giga-Byte Technology ( 


@88 SP4, or Windows XP SP2 or SP3 


Os detection performed. Please report any incorrect results at http://nnap.or 
ubr 
Nnap done: 1 IP address 《 > scanned in 6.878 seconds 


图 3-6 查看 操作 


类 型 


端口 在 运 
机 器 正 


行 什么 服务 。 例 如 如 果 知 道 操作 系统 是 UNIX 和 端口 25 是 开放 的 
了 sendmail; 如 果 操 作 系统 是 Microsoft NT 和 端口 25 是 开放 的 


吕 能 判断 出 
判断 出 正 


在 Exchange。 
(2) Telnet 是 安装 在 大 多 数 操作 系统 中 的 enn 定 端口 
上 。 攻 击 者 使 用 这 类 程序 连接 到 开放 的 端口 上 ,大 多 数 操作 系统 的 默认 安装 显示 了 关于 给 


定 的 端口 在 运行 何 种 服务 的 标题 信息 

(3) Vulnerability Scanners( 弱 点 扫描 器 ) 是 能 被 运行 来 对 付 一 个 站 点 的 程序 , 它 向 黑 
客 提供 一 张 目标 主机 弱点 的 清单 

(4) 通过 TCP SYN 扫描 就 可 以 弄 清楚 每 个 端口 运行 的 服务 ,如 图 3-7 所 示 。 


倪 偶 机 


-和 一 中 0 
控制 侈 像 机 A 


俐 偶 机 


俐 仿 机 


图 3-7 DoS 攻击 原理 
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要 保护 网 络 免 遭 SYN 攻击 ,只 需 按 以 下 这 些 通用 步骤 操作 即 可 : 

(1) 启用 SYN 攻击 保护 。 

(2) 设置 SYN 保护 阔 值 。 

(3) 设置 其 他 保护 。 

经 过 一 系列 的 前 期 准备 ,攻击 者 搜集 了 很 多 信息 ,确切 地 知道 哪些 机 器 是 活动 的 ,哪些 
不 是 ,每 一 台 机 器 正在 使 用 的 操作 系统 、 开 放 的 端口 和 运行 的 服务 等 信息 。 可 以 想象 一 下 ， 
他 成 功 地 攻击 网 络 还 困难 吗 ? 回答 是 否定 的 。 当 拥有 了 那些 信息 后 ,网 络 实际 上 相当 于 受 
到 了 攻击 。 因 此 ,设法 让 攻击 者 不 能 获得 太 多 的 网 络 信息 是 关键 。 


3.3 拒绝 服务 攻击 与 防范 


Sniffer( 嗅 探 器 ) 是 一 种 威胁 性 极 大 的 被 动 攻击 工具 。 使 用 这 种 工具 ,可 以 监视 网 络 的 
状态 .数据 流动 情况 以 及 网 络 上 传输 的 信息 。 当 信息 以 明文 的 形式 在 网 络 上 传输 时 , 便 可 以 
使 用 网 络 监听 的 方式 来 进行 攻击 。 将 网 络 接口 设置 在 监听 模式 , 便 可 以 将 网 上 传输 的 源源 
不 断 的 信息 截获 。 

Sniffer Pro 可 运行 在 局 域 网 的 任何 一 台 机 器 上 ,如 果 是 练习 使 用 ,网 络 连 接 最 好 用 
Hub 且 在 一 个 子 网 中 ,这 样 能 抓 到 连 到 Hub 上 每 台 机 器 传输 的 包 


3.3.1 使 用 Sniffer 软件 监视 网 络 的 状态 
使 用 Sniffer 软件 监视 网 络 状态 的 步骤 如 下 : 


(1) 在 被 攻击 计算 机 B 中 打开 Sniffer Pro 4.7.5, 选 择 Monitor/Matrix 命令 ,此 时 可 看 
到 网 络 中 的 Traffic Map 视图 ,从 任意 主机 发 送 给 计算 机 B 的 IP 数据 包 , 如 图 3-8 所 示 。 


Traffic Map 


192168.6100 


图 3-8 查看 Traffic Map 视图 


74 
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(2) 打开 进行 攻击 的 计算 机 A, 将 XDOS 的 可 执行 文件 xdos. exe 复制 到 C 盘 的 根 目 
xdos 命令 ,如 图 3-9 所 示 。 


WINNT\system32\cmd.exe 


Microsoft Window 2968 [Version 5.88.2195] 
权 所 有 1985-2998 Microsoft Corp- 


C:\Documents and Settings\hdministrator>cdN 


Usage: xdos s Scope> [Options] 
KPorts Scope> nean 
art Port>[-《End Port>][,Porti,Port2-Por 


specify threads count, default is 19 


ecify sou ip addr "x" means random ip》 


dos www.xxx.com 80 
xdos 192.168.1.1 89.139 


行 C:\xdos 命令 


CStart Port>[-《End Port>][,Port1,Port2-Port3,. 
[Options] me 
specify threads count, default is 19 
ify ip add 'x" neans random ip》 


www -xxx-com 808 
二 32 14160 -1.1 0139 =t 与 一 全 


ommand line d.o 
XXY 
exxxxxxxxxxxxxxxxxxxx 


Scope> [Options] 
KPorts Scope 

<Start Port>[-《<End Port>][,Porti1,Port2-Port3,. 
[Options] means: 

-t 《count>: specify threads count, default is 10 

-s ip> : specify source ip address ("x" means random ip》> 


Exanple: xdos www.xxx.com 80 
xdos 192.168.1.1 8B.139 -t 5 -s * 


图 3-10 


行 xdos. exe 


(4) 输入 命令 : xdos 192. 168. 6. 160 80-t 200-s * ,确定 即 可 进行 攻击 ,如 图 3-11 所 示 。 
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YA 人 


该 命令 中 “-t” 指 定 线程 ,“200” 指 定 攻击 线程 数 ( 取 值 范 围 为 : 10 一 300),“-s” 指 定 地 址 源 IP 
地 址 ,“x* ”隐藏 攻击 源 IP 地 址 。192. 168. 6. 160 是 被 攻击 计算 机 B 的 地 址 。 


\WINNT\system32\cmd.exe - xdos 192.168.6.160 80 t 200-s®™ 


Scanning 192.168.6.168 89 


Remote ho 192.168.6.168 (192.168.6.168> 
Local addre x 

DOS mode: SYN FLOOD 

Port count: 1 

Thread count: 209 


图 3-11 xdos 进行 攻击 
(5) 在 被 攻击 计算 机 B 中 可 以 看 到 计算 机 的 处 理 速度 明显 下 降 , 其 至 瘫痪 死机 ,外 


针 已 无 法 移动 。 在 Sniffer Pro 的 Traffic Map 视图 中 可 看 到 大 量 伪造 IP 的 主机 请 
算 机 B 建立 连接 ,如 图 3-12 所 示 


Matrix : 2000 Conversations 


Traffic Map 


图 3-12 计算 机 B 被 攻击 


(6) 计算 机 A 停止 攻击 后 ,被 攻击 的 计算 机 B 恢复 快速 响应 。 图 3-13 所 示 为 受 攻击 前 


的 报 文 统计 : 捕获 报 文 数 为 1KB 时 ,捕获 报 文 的 数据 缓冲 区 大 小 为 5%。 图 3-14 所 示 为 受 
攻击 后 的 报 文 统计 : 捕获 报 文 数 约 为 100KB 时 ,捕获 报 文 的 数据 缓冲 区 大 小 为 100% ,运行 
速度 会 下 降 直 至 瘫痪 死机 ,并 拒绝 为 合法 的 请 求 服务 。 


"1 内 100K* 


图 3-13 受 攻击 前 的 报 文 统计 图 3-14 受 攻击 后 的 报 文 统计 


3.3.2 防范 方法 


在 Windows 2000 中 加 固 TCP/IP 堆栈 可 以 防范 拒绝 服务 攻击 ,可 以 使 用 下 列 方法 ( 同 
样 适 用 于 Windows Server 2003 系统 ): 

(1) 使 用 最 新 的 安全 修复 程序 更 新 计算 机 。 

(2) 在 基于 Windows 2000 的 工作 站 和 服务 器 上 加 固 TCP/IP 协议 堆栈 。 

(3) 默认 的 TCP/IP 堆栈 配置 能 够 处 理 正 常 的 Internet 流量 。 如 果 将 某 台 计算 机 直接 
连接 到 Internet, 则 建议 加 固 TCP/IP 堆栈 以 抵御 拒绝 服务 攻击 。 


3.4 习 题 


. 黑客 进行 的 网 络 攻击 通常 有 哪些 类 型 ? 

. 简 述 黑客 攻击 的 六 个 基本 步骤 。 

. 简 述 如 何 拒绝 服务 攻击 及 其 后 果 。 

. 请 问 有 了 杀毒 软件 与 防火 墙 , 上 网 就 安全 了 吗 ? 

. 试 使 用 X-Scan 扫描 器 进行 端口 扫描 ,分 析 扫描 结果 ,从 而 加 强 系统 的 安全 性 。 
. 试 使 用 360 安全 卫士 进行 系统 漏洞 扫描 ,查看 并 修复 系统 漏洞 。 


中 小 oo 
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本 章 学 习 目 标 

。 防火 墙 的 基本 概念 和 基本 功能 。 

。 防火 墙 的 种 类 及 各 种 类 型 防火 墙 的 基本 特性 。 
。 主要 防火 墙 技术 及 各 自 的 工作 原理 和 优 缺点 。 
。 防火 墙 的 体系 结构 。 

。 防火 墙 的 配置 原则 与 防火 墙 的 选择 。 

。 防火 墙 的 基本 配置 方法 。 


企业 的 内 部 网 与 互联 网 相连 ,其 最 大 好 处 是 方便 企业 内 部 之 间 、 企 业 与 外 部 之 间 的 信息 
交流 。 然 而 ,与 互联 网 这 样 一 个 世界 范围 的 开放 网 络 连接 ,在 获得 利益 的 同时 也 要 付出 安全 
代价 ,因为 互联 网 上 的 每 个 用 户 都 可 能 访问 企业 网 。 如 果 没 有 一 个 安全 保护 措施 ,黑客 很 可 
能 在 不 被 察觉 的 情况 下 进入 企业 网 ,非法 访问 企业 的 资源 ,甚至 恶意 破坏 企业 网 站 (这 就 是 
平时 常 说 的 被 黑客 * 黑 ”了 ) 。 

于 是 ,各 企业 纷纷 为 自己 的 内 部 网 络 * 筑 墙 , 防 病毒 与 防 黑客 成 为 确保 企业 信息 系统 安 
全 的 基本 目标 。 这 里 所 说 的 “ 墙 ”在 相当 程度 上 指 的 就 是 “防火 墙 ”, 它 是 网 络 安全 中 最 重要 
的 设备 之 一 ,被 誉 为 企 事业 单位 局 域 网 的 网 络 守护 神 。 

防火 墙 的 主要 用 途 就 是 根据 所 设 定 的 规则 对 通信 双方 的 数据 包 ( 主 要 是 对 非 信任 的 外 
部 网 络 ) 进 行 过 滤 。 过 滤 规 则 中 可 能 是 对 方 的 网 络 地 址 .IP 地 址 、 计 算 机 名 端口、 通信 协议 
和 服务 等 。 其 最 终 目 的 就 是 过 滤 掉 存在 安全 风险 的 通信 数据 包 , 如 黑客 攻击 类 的 端口 扫描 
数据 包 、Ping 测试 包 和 拒绝 服务 类 数据 包 等 。 但 防火 墙 不 能 过 滤 计 算 机 病毒 .木马 及 恶意 
软件 等 的 入 侵 和 感染 ,防火 墙 只 是 整个 企业 安全 防御 系统 中 的 一 个 重要 环境 。 本 章 主 要 介 
绍 防火 墙 的 功能 、 主 要 技术 以 及 在 网 络 安 全 方面 的 具体 应 用 。 


4.1 防火 墙 概述 


防火 墙 指 隔 离 在 内 部 网 络 与 外 部 网 络 之 间 的 一 道 防 御 系 统 , 是 这 一 类 防范 措施 的 总 称 。 
在 互联 网 上 防火 墙 是 一 种 非常 有 效 的 网 络 安全 模型 ,可 以 隔离 风险 区 域 ( 如 互联 网 或 有 一 定 
风险 的 其 他 网 络 ) 与 安全 区 域 (企业 内 部 网 ) 的 连接 ,不 会 妨碍 人 们 对 风险 区 域 的 访问 ,而 来 
自 互联 网 的 访问 者 必须 通过 防火 墙 的 安全 检查 ,才能 访问 内 部 网 络 的 计算 机 。 
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4.1.1 防火 墙 定 义 


防火 墙 (Firewall) 是 目前 最 重要 的 一 种 网 络 安全 防护 设备 ,在 网 络 中 经 常 以 图 4-1 所 示 
的 两 种 图 标 出 现 。 左 边 图 标 非 常 形象 ,真正 像 一 堵 墙 堵 住 了 
火 的 蔓延 ;而 右边 那个 图 标 则 是 从 防火 墙 的 过 滤 机 制 形象 化 
来 的 , 它 是 一 个 二 极 管 图 标 。 

防火 墙 最 初 的 用 途 不 是 为 了 网 络 安全 ,而 是 为 了 控制 实 Wg 
际 的 火灾 。 古 代 构 筑 和 使 用 木质 结构 房屋 的 时 候 ,为 防止 火 
灾 的 发 生 和 草 延 ,人 们 将 坚固 的 石 块 堆砌 在 房屋 周围 作为 屏 
障 ,这 种 防护 构筑 物 就 被 称 为 防火墙"。 其 实 与 防火 墙 一 起 图 4-1 防火 墙 图 标 
起 作用 的 是 “ 门 ”, 如 果 没 有 门 ,各 房间 的 人 如 何 沟 通 呢 ? 住 在 
这 些 房间 的 人 如 何 进出 呢 ?” 当 火灾 发 生 时 ,这 些 人 又 如 何 逃 离 现场 呢 ? 这 个 门 就 相当 于 这 
里 所 讲 的 防火 墙 的 “安全 策略 ”, 也 就 是 安全 过 滤 机 制 。 所 以 防火 墙 并 不 是 一 堵 实 心 墙 ,而 是 
带 有 一 些小 孔 的 墙 ,这 些小 孔 用 来 留 给 那些 允许 进行 的 通信 。 在 这 些小 孔 中 安装 的 过 滤 机 
制 , 只 有 符合 条 件 的 通信 才能 通过 。 

现在 , 当 我 们 谈 及 网 络 安全 时 ,“ 防 火 墙 ”这 个 术语 意味 着 不 同 的 概念 ,但 其 基本 含义 是 : 
防火 墙 用 来 保护 我 们 的 网 络 免 受 恶意 人 员 的 攻击 ,并 在 定义 的 边界 点 (防火 墙 ) 停 止 他 们 的 
非法 行为 。 因 此 ,防火墙 指 的 是 隔离 在 内 部 网 络 与 外 界 网 络 之 间 的 ,控制 介 于 网 络 不 同 区域 
的 通信 的 一 台 设备 或 者 一 套 防 御 系 统 。 在 简单 的 小 型 网 络 设计 中 ,比如 在 普通 家 庭 环 境 中 ， 
通常 使 用 一 台 设 备 ( 如 Cisco 的 无 线 Linksys 路 由 器 ) 来 实现 这 些 功能 。 而 在 大 型 的 企业 网 
络 中 ,防火 墙 包括 很 多 组 件 ,比如 边界 防火 墙 , 状 态 防 火 墙 `\VPN IDS 系统 以 及 其 他 组 件 。 
通常 人 们 将 包括 很 多 组 件 的 防火 墙 称 作 防火 墙 系统 。 防 火 墙 可 以 使 企业 内 部 网 络 与 
Internet 之 间或 者 与 其 他 外 部 网 络 互相 隔离 ,通过 限制 网 络 互 访 来 保护 内 部 网 络 。 

防火 墙 最 初 的 设计 思想 是 对 内 部 网 络 总 是 信任 的 ,而 对 外 部 网 络 却 总 是 不 信任 的 ,所 以 
最 初 的 防火 墙 上 只 是 对 外 部 进来 的 通信 进行 过 滤 ,而 对 内 部 网 络 用 户 发 出 的 信息 不 作 限 制 。 
然而 , 绝 大 多 数 ( 占 60% 一 70%) 的 网 络 威胁 和 攻击 发 生 在 网 络 内 部 ,主要 来 自 公 司 内 部 的 
雇员 。 目 前 最 新 的 分 布 式 防火 墙 系统 在 过 滤 机 制 上 已 有 所 改变 ,不 仅 对 外 部 网 络 发 来 的 通 
信和 连接 进行 过 滤 , 对 内 部 网 络 用户 发 出 的 部 分 连接 请 求 和 数据 包 同 样 进行 过 滤 。 


4.1.2 防火 墙 的 主要 功能 


防火 墙 的 作用 是 流量 过 滤 ,防止 不 希望 的 非法 流量 和 未 经 过 授权 的 流量 进出 被 保护 的 
网 络 。 防 火 墙 的 任务 是 通过 各 种 端口 辨别 从 外 部 不 安全 网 络 发 送 到 内 部 安全 网 络 中 的 计算 
机 数据 是 否 有 害 , 尽 可 能 对 有 害 数据 进行 报警 和 拦截 ,从 而 保障 网 络 系统 安全 。 安 装 防火 墙 
和 正确 配置 后 一 般 可 以 达到 以 下 目的 。 


1. 强化 安全 策略 ,保障 网 络 的 安全 
防火 墙 通过 仅 允 许 “ 认 可 的 "和 符合 规则 的 请 求 通过 的 方式 来 强化 安全 策略 ,过 滤 不 安 
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全 的 服务 。 由 于 只 有 经 过 精心 选择 的 应 用 协议 才能 通过 防火 墙 ,所 以 网 络 安全 会 得 到 保障 。 
2. 控制 存 取 


指 依据 管理 者 所 设 定 的 存 取 控制 ,决定 网 络 信 息 的 许可 或 者 拒绝 , 存 取 控 制 的 条 件 包括 
资料 封包 的 来 源 地 址 、 目 标 地 址 、 连 接 的 网 络 服务 协议 种 类 以 及 使 用 者 的 身份 等 。 存 取 控制 
甚至 可 以 做 到 控制 网 络 服务 的 某 些 特定 指令 是 否 允 许 其 执行 。 


3. 控制 对 特殊 站 点 的 访问 


防火 墙 能 控制 对 特殊 站 点 的 访问 ,如 有 些 主机 能 被 外 部 网 络 访问 而 有 些 则 要 被 保护 
起 来 。 


4. 安全 策略 的 检查 和 集中 化 的 安全 管理 


如 果 使 用 了 防火 墙 ,所 有 信息 都 必须 经 过 防火 墙 ,防火 墙 就 成 为 一 个 安全 检查 点 ,同时 
可 以 将 安全 软件 都 放 在 防火 墙 上 集中 管理 。 


5. 对 网 络 访问 进行 记录 和 统计 


如 果 所 有 对 Internet 的 访问 都 经 过 防火 墙 ,那么 ,防火 墙 就 能 记录 下 这 些 访问 ,并 能 提 
供 网 络 使 用 情况 的 统计 数据 。 当 发 生 可 疑 操作 时 ,防火 墙 能 够 报警 并 提供 网 络 是 否 受到 监 
测 和 攻击 的 详细 信息 。 


6. 隐藏 用 户 站 点 或 网 络 拓扑 并 防止 内 部 信息 的 外 泄 

通过 防火 墙 对 内 部 网 络 的 划分 ,可 实现 对 内 部 网 重点 网 段 的 隔离 ,从 而 限制 了 局 部 重点 
或 敏感 网 络 安全 问题 对 全 局 网 络 造成 的 影响 。 
4.1.3 与 防火 墙 有 关 的 主要 术语 

在 继续 下 面具 体 的 防火 墙 技术 和 应 用 学 习 之 前 ,需要 对 一 些 重要 的 术语 有 一 些 认识 ,这 
些 术 语 将 在 本 章 后 面 的 内 容 中 用 到 。 

1. 网 关 


网 关 是 在 两 个 设备 之 间 提 供 转 发 服务 的 系统 。 网 关 的 范围 可 以 从 互联 网 应 用 程序 (如 
公共 网 关 接 口 CGI) 到 在 两 台 主机 间 处 理 流 量 的 防火 墙 网 关 。 网 关 可 以 是 软件 的 (如 在 
Windows 系统 中 配置 的 ICS 就 是 通过 设置 网 关 而 实现 的 ), 也 可 以 是 硬件 的 (如 语音 网 关 、 
连接 网 关 等 ) 。 


2. 电路 级 网 关 


电路 级 网 关 用 来 监控 受信 任 的 客户 或 服务 器 与 不 受信 任 的 主机 间 的 TCP 握手 信息 ,以 
此 来 决定 该 会 话 是 否 合法 。 有 两 种 方法 来 实现 这 种 类 型 的 网 关 , 一 种 是 由 一 台 主 机 充当 和 铀 
选 路 由 器 ,而 另 一 台 充 当 应 用 级 防火 墙 ; 另 一 种 方法 是 在 第 一 个 和 第 二 个 防火 墙 主机 之 间 建 
立 安全 的 连接 ,这 种 结构 的 好 处 是 当 一 次 攻击 发 生 时 能 提供 容错 功能 。 
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3. 应 用 级 网 关 


应 用 级 网 关 可 以 工作 在 OSI 七 层 模型 的 任 一 层 上 ,能 够 检查 进出 的 数据 包 , 通 过 网 关 
复制 传递 数据 ,防止 受信 任 服务 器 和 客户 机 与 不 受信 任 的 主机 直接 建立 连接 。 应 用 级 网 关 
能 够 理解 应 用 层 上 的 协议 ,能够 做 复杂 一 些 的 访问 控制 ,并 做 精细 的 注册 。 这 通常 是 在 特殊 
的 服务 器 上 安装 软件 来 实现 的 。 


4. 包 过 滤 


包 过 滤 是 处 理 网 络 上 基于 packet-y-packet( 包 到 包 ) 流 量 的 设备 。 包 过 滤 设 备 允 许 或 阻 
止 包 , 典 型 的 实施 方法 是 通过 标准 的 路 由 器 。 包 过 滤 技 术 是 防火 墙 的 主要 技术 之 一 ,在 本 童 
后 面具 体 介绍 。 


5. 代理 服务 器 


代理 服务 器 可 代表 内 部 客户 端 与 外 部 的 服务 器 通信 。 代 理 服 务 器 这 个 术语 通常 是 指 一 
个 应 用 级 的 网 关 , 虽 然 电路 级 网 关 也 可 作为 代理 服务 器 的 一 种 。 应 用 代理 服务 器 技术 也 是 
防火 墙 的 一 种 主要 技术 ,也 将 在 本 章 后 面具 体 介绍 。 


6. 网 络 地 址 转换 


网 络 地 址 转换 (Network Address Translation, NAT) 是 对 Internet 用 户 隐 藏 内 部 地 
址 (一 般 称 为 私有 地 址 ) ,防止 内 部 地 址 公开 的 一 种 技术 。 


7. 堡垒 主机 


堡垒 主机 是 一 种 被 强化 的 可 以 防御 进攻 的 计算 机 ,被 暴露 于 互联 网 之 中 ,作为 进入 内 部 
网 络 的 一 个 检查 点 ,以 达到 把 整个 网 络 的 安全 问题 集中 在 某 个 主机 上 解决 。 

从 堡垒 主机 的 定义 可 以 看 出 , 它 是 网 络 中 最 容易 受到 侵害 的 主机 ,所 以 堡垒 主 机 也 必须 
是 自身 保护 最 完善 的 主机 。 一 个 堡垒 主机 通常 使 用 两 块 网 卡 ,分 别 连接 内 网 和 外 网 ,如 
图 4-2 所 示 。 


两 块 网 卡 ， 分 别 连接 内 网 和 
Web 服 务 器 。 FTP 服务 器 外 网 (Intemet ) 


图 4-2 堡 驹 主机 部 署 的 位 置 


堡垒 主机 经 常 配 置 网 关 服 务 ,网 关 服 务 是 一 个 进程 ,用 来 提供 从 公 网 到 私有 网 络 的 特殊 
协议 路 由 ;反之 亦 然 。 在 一 个 应 用 级 的 网 关 里 , 想 使 用 的 每 一 个 应 用 程序 协议 都 需要 一 个 进 
程 。 因 此 , 想 通 过 一 台 堡 垒 主机 来 路 由 E-mail、Web 和 FTP 服务 时 ,必须 为 每 一 个 服务 都 


提供 一 个 守护 进程 。 
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8. 强化 操作 系统 


防火 墙 要 求 尽 可 能 只 配置 必需 的 少量 的 服务 。 为 了 加 强 操作 系统 的 稳固 性 ,防火 墙 安 
装 程序 要 禁止 或 删除 所 有 不 需要 的 服务 。 


9. 非 军 事 化 区 域 (Demilitarized Zone,DMZ) 


DMZ 是 从 企业 内 部 网 络 中 划分 的 一 个 小 区 域 ,存在 于 公司 的 内 部 网 络 和 外 部 网 络 之 
间 , 如 图 4-3 所 示 。 


Internety 
三 块 网 卡 ， 分 别 连接 内 网 、DMZ 
Web 服 务 器 ”FTP 服 务 器 区 域 和 外 网 ( Intemet ) 


图 4-3 DMZ 部 署 的 位 置 


DMZ 是 内 网 和 外 网 的 一 个 缓冲 区 ,在 其 中 可 包括 内 部 网 络 中 用 于 对 外 (如 Internet) 提 
供 公众 服务 的 服务 器 ,如 Web 服务 器 .邮件 服务 器 FTP 服务 器 .外 部 DNS 服务 器 等 , 受 保 
护 的 级 别 较 低 。 因 为 如 果 级 别 太 高 , 则 这 些 提 供 公 共 服 务 的 网 络 应 用 就 无 法 进行 。 


4.2 防火 墙 的 分 类 


认识 了 防火 墙 之 后 ,我 们 就 来 对 当前 市 场 上 的 防火 墙 进行 一 下 分 类 。 目 前 市 场 上 的 防 
火 墙 产品 非常 多 ,划分 的 标准 也 比较 杂 。 在 此 将 主流 的 分 类 标准 进行 介绍 。 


4.2.1 按 防 火 墙 的 软 、 硬 件 形式 划分 


如 果 从 防火 墙 的 软 ,硬件 形式 来 分 ,防火 墙 可 以 分 为 硬件 防火 墙 和 软件 防火 墙 。 
1. 硬件 防火 墙 


最 初 的 防火 墙 与 人 们 平时 所 看 到 的 集线器 、 交 换 机 一 样 ,都 属于 硬件 产品 (在 其 中 包含 
软件 功能 ,如 它 的 1OS)。 图 4-4 所 示 是 Cisco 公司 的 一 款 PIX-515E-R-BUN 防火 墙 。 一些 
高 级 的 防火 墙 不 仅 可 以 连接 多 个 内 部 局 域 网 ,还 可 连接 多 个 外 部 网 络 。 图 4-5 所 示 是 一 款 
多 网 络 接口 的 硬件 防火 墙 ,它们 在 外 观 上 与 平常 所 见 到 的 集线器 和 交换 机 类 似 。 

硬件 防火 墙 有 两 种 结构 : 一 种 是 普通 硬件 级 防火 墙 , 这 种 防火 墙 措施 相当 于 专门 拿 出 
一 台 计 算 机 安装 了 软件 防火 墙 ,其 安全 性 并 不 能 做 到 最 好 。 另 一 种 是 所 谓 的 “芯片 ?级 硬件 
防火 墙 , 它 采 用 专门 设计 的 硬件 平台 ,在 上 面 搭建 的 软件 也 是 专门 开发 的 ,可 以 达到 较 好 的 
安全 性 能 保障 。 

无 论 是 哪 种 硬件 防火 墙 ,管理 员 都 可 以 通过 计算 机 连接 上 去 设置 其 工作 参数 。 对 数据 
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吞吐 量 要 求 很 高 的 网 络 里 ,档次 低 的 防火 墙 仍然 会 形成 瓶颈 ,所 以 对 于 一 些 大 企业 而 言 , 世 
片 级 的 硬件 防火 墙 才 是 他 们 的 首选 。 


图 4-4 硬件 防火 墙 示例 图 4-5 多 网 络 接口 的 硬件 防火 墙 


有 人 也 许 会 这 么 想 , 既 然 PC 架构 的 防火 墙 与 一 台 PC 机 差不多 ,那么 购买 这 种 防火 墙 
还 不 如 自己 配置 一 台 多 网 卡 计算 机 来 做 防火 墙 。 虽然 理 论 上 可 以 这 么 做 ,但 是 工作 效率 并 
不 能 和 真正 的 PC 架构 防火 墙 相 比 ,因为 PC 架构 防火 墙 采用 的 是 专门 修改 简化 过 的 系统 和 
相应 防火 墙 程序 , 比 一 般 计 算 机 系统 和 软件 防火 墙 结合 更 加 紧密 。 而 且 由 于 它 的 工作 性 质 
决定 了 它 要 具备 非常 高 的 稳定 性 、 实 用 性 和 非常 高 的 系统 吞吐 性 能 ,这 些 要 求 并 不 是 安装 了 
多 网 卡 的 计算 机 就 能 简单 替代 的 。 

目前 能 开发 .生产 硬件 防火 墙 产品 的 厂家 并 不 多 ,国内 、 外 比较 著名 的 防火 墙 品牌 有 : 
Cisco、Juniper、Watchguard、 飞 塔 (Fortigate)、 华 为 3COM(CH3C) 、 东软 (Neusoft)、 锐 捷 
(Ruijie) , 合 勤 (ZyXEL) 和 神州 数码 等 。 


2. 软件 防火 墙 


随 着 防火 墙 应 用 的 逐步 普及 和 计算 机 软件 技术 的 发 展 ,为 了 满足 不 同 层次 用 户 对 防火 
墙 技术 的 需求 ,许多 网 络 安全 软件 厂商 开发 出 了 基于 纯 软 件 的 防火 墙 ,俗称 "个 人 防火 墙 ”， 
如 天 网 防火 墙 、 傲 盾 防 火 墙 、. 金 山 毒 霜 防 火 墙 .瑞星 防火 墙 ,ZoneAlarm 等 。 

软件 防火 墙 是 一 种 安装 在 负责 内 、 外 网 络 转换 的 网 关 服务 器 或 者 独立 的 个 人 计算 机 上 
的 特殊 程序 。 它 是 以 逻辑 形式 存在 的 ,防火 墙 程序 跟随 系统 启动 ,通过 运行 在 Ring 0 级 别 
的 特殊 驱动 模块 ,把 防御 机 制 插入 系统 关于 网 络 的 处 理 部 分 和 网 络 接口 设备 驱动 之 间 ,形成 
一 种 多 辑 上 的 防御 体系 。 

由 于 软件 防火 墙 自身 属于 运行 于 系统 上 的 程序 ,不 可 避免 地 需要 占用 一 部 分 CPU 资 
源 以 维持 工作 ,而 且 由 于 数据 判断 处 理 需要 一 定 的 时 间 ,在 一 些 数据 流量 大 的 网 络 里 ,软件 
防火 墙 会 使 整个 系统 工作 效率 和 数据 吞吐 速度 下 降 ,甚至 有 些 软件 防火 墙 会 存在 漏洞 ,导致 
有 害 数据 可 以 绕 过 它 的 防御 体系 ,给 数据 安全 带 来 损失 。 因 此 ,许多 企业 并 不 会 考虑 用 软件 
防火 墙 方案 作为 公司 网 络 的 防御 措施 ,而 是 使 用 看 得 见 摸 得 着 的 硬件 防火 墙 。 

现在 的 防火 墙 产品 也 开始 由 最 初 的 独立 软件 防火 墙 或 者 硬件 防火 墙 , 走 向 软 、 硬 混合 类 
型 的 混合 类 型 防火 墙 。 如 最 新 的 分 布 式 ( 也 称 " 嵌 入 式 ”) 防 火 墙 ,就 是 同时 有 硬件 防火 墙 设 
备 和 防火 墙 软件 的 混合 类 型 防火 墙 系统 。 


4.2.2 按 防火 墙 性 能 划分 


在 实际 的 应 用 中 ,用 户 通常 是 根据 具体 应 用 的 安全 和 人 性 能 需求 而 选择 不 同性 能 等 级 的 
防火 墙 产品 的 。 本 节 介绍 从 性 能 等 级 (其 中 还 体现 功能 上 的 差异 ) 上 进行 的 分 类 。 
1. 个 人 防火 墙 


个 人 防火 墙 通常 为 个 人 用 户 所 选择 ,用 于 为 个 人 计算 机 提供 简单 的 防火 墙 功能 。 由 于 


网 络 安全 技术 案例 教程 


永久 Internet 连接 (与 拨号 连接 相对 ) 的 数量 不 断 增长 ,个 人 防火 墙 的 使 用 也 在 增加 。 

虽然 个 人 防火 墙 是 为 了 保护 单一 个 人 计算 机 而 设计 的 ,但 是 如 果 安 装 它 的 计算 机 是 与 
内 部 网 络 上 的 其 他 计算 机 共享 到 Internet 的 连接 , 则 它 也 可 以 保护 小 型 网 络 。 但 是 ,个 人 防 
火 墙 的 性 能 有 限 , 并 会 造成 安装 它 的 个 人 计算 机 的 性 能 下 降 。 这 种 保护 机 制 通常 不 如 专用 
防火 墙 解决 方案 有 效 , 因 为 它们 通常 只 限于 阻止 IP 和 端口 地 址 。 


2. 路 由 器 防火 墙 


路 由 器 通常 支持 前 面 所 讨论 的 一 个 或 多 个 防火 墙 功能 。 它 们 可 以 再 细 分 成 为 低 端 和 高 
端 路 由 器 。 低 端 路 由 器 提供 了 阻止 和 允许 特定 的 IP 地 址 和 端口 号 的 基本 防火 墙 功 能 ,以 及 
使 用 NAT 来 隐藏 内 部 IP 地 址 。 在 高 端 路 由 器 中 ,防火 墙 功能 与 硬件 防火 墙 设备 的 功能 类 
似 , 但 是 成 本 更 低 而 且 吞 吐 量 也 更 低 。 


3. 低 端 硬件 防火 墙 


硬件 防火 墙 市 场 中 的 低 端 产 品 是 需要 一 点 或 一 点 也 不 需要 配置 的 即 插 即 用 设备 ,就 像 
普通 的 桌面 交换 机 一 样 。 这 些 低档 设备 经 常 集成 了 交换 机 和 (或 )VPN 功能 。 低 端 硬件 防 
火 墙 适合 小 型 公司 和 在 较 大 企业 中 内 部 使 用 。 


4. 高 端 硬件 防火 墙 


高 端的 硬件 防火 墙 可 以 通过 添加 第 二 个 作为 热 备用 单元 运行 的 防火 墙 ,以 获得 可 用 性 
的 提高 。 由 于 入 侵 经 常 发 生 ,DoS 攻击 、 窃 取 和 数据 损坏 始终 在 进行 尝试 ,因此 高 端 硬件 防 
火 墙 单元 应 该 部 署 在 中 心 或 总 公司 位 置 中 。 


5. 高 端 服 务 器 防火 墙 


高 端 服务 器 防火 墙 将 防火 墙 功 能 添加 到 高 端 服务 器 中 ,在 标准 软件 和 软件 系统 上 提供 
可 靠 快速 的 保护 。 此 方法 的 好 处 是 使 用 熟悉 的 硬件 或 软件 ,这样 可 以 减少 库存 项 目 ,简化 培 
训 和 管理 ,提供 可 靠 性 和 扩展 性 。 服 务 器 防火 墙 适合 在 一 些 特殊 的 硬件 或 软件 平台 上 有 高 
投资 的 地 方 。 
各 类 防火 墙 属性 见 表 4-1。 
表 4-1 各 类 防火 墙 属性 列表 


低 端 硬件 高 端 硬件 高 端 服务 
防火 墙 防火 墙 器 防火 墙 


大 多 数 个 人 防 | 大 多 数 路 由 器 | 大 多 数 低 端 硬 | 大 多 数 高 端 硬 
火 墙 支持 静态 | 防火 墙 支 持 静 | 件 防 火 墙 支持 | 件 防火 墙 支持 
数据 包 筛选 器 、| 态 数 据 包 筛选 | 静态 数据 包 筛 | 静态 数据 包 筛 
NAT 和 状态 检 | 器 。 低 端 路 由 | 选 器 和 “ NAT。 | 选 器 和 NAT。 
查 , 有 些 个 人 防 | 器 通常 支持 | 可 能 支持 状态 | 可 能 支持 监控 
火 墙 支持 线路 | NAT; 高 端 路 | 检查 和 应 用 程 | 状态 的 检查 和 
层 检查 和 (或 ) | 由 器 可 能 支持 | 序 层 筛选 应 用 程序 层 
应 用 程序 层 | 状 态 检查 和 应 筛选 

筛选 用 程序 层 筛选 


防火 墙 属 性 个 人 防火 墙 | 路 由 器 防火 墙 


大 多 数 高 端 服 
务 器 防火 墙 支 
持 静 态 数 据 包 
第 选 器 和 
NAT。 可 能 支 
持 监 控 状 态 的 
检查 和 应 用 程 
序 层 筛选 


受 支 持 的 基本 
功能 
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续 表 
低 庙 硬件 ”| ”高 端 硬 件 高 端 服务 
防火 坟 属 性 | 个 人 防火 增 | 路 由 器 防火 墙 | 个 人 ee en 
通常 在 低 端 中 
自动 (有 手动 | 由 器 上 是 自动 | 自动 (有 手动 | 2 
本 选项 ) 的 ,在 高 端 路 由 | 选项 ) 光 沉 手动。 | 天 这 于 二 
器 上 是 手动 的 
阻止 或 充 许 下 
a 是 是 是 是 是 
面目 或 允许 协 
议 /端口 号 在 大 全 区 和 
面 下 或 允许 传人 
的 ICMP 消息 是 是 是 a 是 
控制 传 出 的 访问 | 是 是 是 是 是 
应 用 程序 保护 ”| 可 能 可 能 没有 默认 支持 “| 默认 支持 
声响 或 可 见 警 报 | 可 能 通常 没有 是 是 
攻击 的 日 志文 件 | 可 能 在 许多 情况 下 | 没有 是 是 
实时 警报 取决 于 产品 | 在 许多 情况 下 | 没有 是 是 
经 常 在 低 端 路 
由 器 中 在 高 端 
路 由 器 中 不 党 
VPN 支 持 没有 见 。 用 于 此 任 | 可 能 默认 支持 。 | 默认 支持 
务 的 通常 是 音 
独 的 专用 设备 
或 服务 器 
远程 管理 没有 是 是 是 是 
通常 在 低 端 中 
有 ,| 由 器 中 受到 限 | ， 
制造 商 支 持 | 取决 于 产品 。 | 下 守 由 党 渴 训 | 有 限 很 好 很 好 
由 器 中 可 用 
高 可 用 性 选项 低 端 ， 否 ;高 | 
否 neh 没有 是 是 
ey 本 村 加 加 大 于 50 000( 可 
并 发 会 话 的 个 数 | 1 一 10 10 一 1000 10 一 7500 7500 一 500 000 路 越 多 个 网 段 ) 
模块 式 升级 ( 宣 | 低 端 ， 否 ; 高 是 (使 用 常用 操 
件 或 软件 ) 没有 限制 。 | 端 ; 有 限 - 作 系统 ) 
低 (在 很 多 情况 , 
价格 范围 bs 从 低 到 高 低 高 高 
模 芯 化 系统 | 高 性 能 ,回合 服 
低 成 本 解决 方 本 
成 本 低 , 配置 | 远程 管理 , 适 | 务 ,可 用 性 、 适 
Em ST 应 性 好 ,应 用 | 应 性 和 可 扩展 
l 程序 层 筛选 | 性 好 
条 中 管理 下 较 
a 困难 , 仅 具有 基 ee 加 对 有 .让 | 成 本 高 ,配置 | 要求 训 端 硬件 ， 
a 星人 利生 机 23 | 和 管理 复杂 | 容易 遭受 攻击 
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4.3 主要 防火 墙 技 术 


一 个 防火 墙 系统 可 能 由 很 多 不 同 的 设备 和 组 件 组 成 ;其 中 一 部 分 组 件 的 作用 就 是 流量 
过 滤 , 这 部 分 组 件 就 是 大 多 数 人 称 为 防火 墙 的 部 分 。 防 火 墙 的 过 滤 技 术 有 很 多 种 不 同 的 过 
滤 方 式 , 但 主要 有 三 种 : 包 过 滤 技 术 应 用 代理 技术 和 状态 检测 技术 。 采 用 包 过 滤 技 术 和 状 
态 检测 技术 统称 为 网 关 型 防火 墙 ,以 以 色 列 的 CheckPoint 防火 墙 和 Cisco 公司 的 PIX 防火 
墙 为 代表 ;采用 应 用 代理 技术 的 防火 墙 以 美国 NAI 公司 的 Gauntlet 防火 墙 为 代表 。 这 些 
采用 不 同 技术 的 防火 墙 在 功能 和 设计 上 不 同 , 并 且 在 网 络 架构 中 的 用 法 也 不 同 。 


4.3.1 包 过 滤 技术 


防火 墙 的 包 过 滤 (Packet filtering) 功 能 是 在 网 络 中 的 网 络 层 和 传输 层 中 实现 的 。 它 是 
根据 分 组 包 的 源 / 宿 地 址 、 端 口号 及 协议 类 型 标志 确定 是 否 允许 分 组 包 通 过 ,只 有 满足 过 滤 
逻辑 的 数据 包 才 被 转发 到 相应 的 目的 地 出 口 端 ,其 余数 据 包 则 被 从 数据 流 中 丢弃 。 而 这 些 
信息 来 源 就 是 IPTCP 或 UDP 数据 包 的 包头 。 


1. 包 过 滤 防 火 墙 原理 


包 过 滤 防 火 墙 一 般 在 路 由 器 上 实现 ,用 以 过 滤 用 户 定 义 的 内 容 , 如 IP 地址 。 其 工作 
原理 是 : 系统 在 网 络 层 检查 数据 包 ,与 应 用 层 无 关 。 这 样 系统 就 具有 很 好 的 传输 性 能 ,可 
扩展 能 力 强 。 但 是 , 包 过 滤 防 火 墙 的 安全 性 有 一 定 的 缺陷 ,因为 系统 对 应 用 层 信息 无 感 
知 , 也 就 是 说 ,防火 墙 不 理解 通信 的 内 容 ,所 以 可 能 被 黑客 所 攻破 。 图 4-6 所 示 为 包 过 滤 
防火 墙 工 作 原 理 图 。 


应 用 层 


图 4-6 包 过 滤 防 火 墙 工作 原理 图 


2. 包 过 滤 技 术 的 主要 优 、 缺 点 


包 过 滤 防 火 墙 主要 部 署 在 组 织 的 边缘 ,进行 粗 度 过 滤 。 由 于 其 只 检查 目的 端口 和 (或 ) 
源 / 目 的 IP 地址 ,因此 具有 速度 快 的 优点 ;一 旦 知道 了 必须 的 端口 和 (或 ) 子 网 ,就 可 以 在 几 
分 钟 之 内 设置 好 包 过 滤 防 火 墙 .没有 复杂 的 规则 设置 ,具有 快速 部 署 的 优点 。 

但 是 ,因为 包 过 滤 防 火 墙 只 做 简单 的 包 检测 ,所 以 其 安全 性 较 低 : 包 过 滤 防 火 墙 不 能 阻 
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止 应 用 层 的 攻击 ;大 多 数 过 滤 防 火 墙 中 缺少 审计 和 报警 机 制 , 且 管 理 方式 和 用 户 界面 较 差 。 
4.3.2 应 用 代理 技术 


应 用 代理 (Application Proxy) 防 火 墙 也 叫 应 用 网 关 (Application Gateway) ,是 内 部 网 
与 外 部 网 的 隔离 点 ,起 着 监视 和 隔绝 应 用 层 通信 流 的 作用 。 它 工作 在 OSI 模型 的 最 高 层 
(应 用 层 ) ,掌握 着 应 用 系统 中 可 用 做 安全 决策 的 全 部 信息 。 其 特点 是 完全 “阻隔 ”了 网 络 通 
信 流 ,通过 对 每 种 应 用 服务 编制 专门 的 代理 程序 ,实现 监视 和 控制 应 用 层 通信 流 的 作用 。 

这 种 防火 墙 针 对 每 种 应 用 协议 提供 相应 的 代理 服务 ,经 由 代理 服务 器 (代理 主机 ) 访 问 
内 、 外 部 网 络 ,并 将 结果 返回 给 代理 客户 端 ,其 体系 结构 如 图 4-7 所 示 。 代 理 服务 器 技术 是 
防火 墙 技 术 中 最 受 推崇 的 一 种 安全 技术 措施 , 它 可 以 将 被 保护 的 网 络 内 部 结构 屏蔽 起 来 , 增 
强 网 络 的 安全 性 能 ,同时 可 以 用 于 实施 较 强 的 数据 流 监控 ,过滤 .记录 和 报告 等 功能 。 


应 用 层 | 
传输 层 | 
网 络 层 
数据 链 路 层 


应 用 层 
| 传输 层 | 


图 4-7 应 用 代理 防火 墙 工作 原理 图 


1. 应 用 代理 防火 墙 的 工作 原理 


代理 服务 器 防火 墙 检查 所 有 应 用 层 的 信息 包 , 并 将 检查 的 内 容 信息 放 人 决策 过 程 ,从 而 
提高 网 络 的 安全 性 。 然 而 ,应 用 网 关 防 火 墙 是 通过 打破 客户 机 /服务 器 模式 实现 的 。 每 个 客 
户 机 /服务 器 通信 需要 两 个 连接 : 一 个 是 从 客户 端 到 防火 墙 , 另 一 个 是 从 防火 墙 到 服务 器 。 
另外 ,每 个 代理 需要 一 个 不 同 的 应 用 进程 ,或 一 个 后 台 运 行 的 服务 程序 ,对 每 个 新 的 应 用 必 
须 添加 针对 此 应 用 的 服务 程序 ,否则 不 能 使 用 该 服务 。 图 4-7 所 示 为 代理 服务 器 防火 墙 工 
作 原 理 图 。 


2. 应 用 代理 技术 的 性 能 特点 

提供 的 安全 级 别 高 于 包 过 滤 型 防火 墙 ; 可 以 配置 成 唯一 的 可 被 外 部 看 见 的 主机 ,以 保护 内 
部 主机 免 受 外 部 攻击 ;可 以 强制 执行 用 户 认证 ;能 提供 较 详细 的 审计 日 志 ; 速 度 比 包 过 滤 慢 。 
4.3.3 状态 检测 技术 


状态 检测 防火 墙 的 安全 特性 非常 好 , 它 采 用 了 一 个 在 网 关上 执行 网 络 安全 策略 的 软件 
引擎 , 称 之 为 检测 模块 。 检 测 模 块 在 不 影响 网 络 正常 工作 的 前 提 下 ,采用 抽取 相关 数据 的 方 
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法 对 网 络 通信 的 各 层 实 施 监 测 , 抽 取 部 分 数据 , 即 状态 信息 ,并 动态 地 保存 起 来 。 
一 个 有 状态 包 检 查 的 防火 墙 跟 踪 的 不 仅 是 包 中 包含 的 信息 。 为 了 跟踪 包 的 状态 ,防火 
墙 还 记录 有 用 的 信息 以 帮助 识别 包 , 如 已 有 的 网 络 连 接 、 数 据 的 传 出 请 求 等 。 


1. 状态 检测 防火 墙 的 工作 原理 


状态 监视 器 防火 墙 克服 了 前 两 种 防火 墙 技术 的 限制 , 它 在 不 断 开 客户 机 /服务 器 的 模式 
的 前 提 下 ,提供 一 个 完全 的 应 用 层 感知 。 在 状态 监视 器 防火 墙 里 ,信息 包 在 网 络 层 就 被 截取 
了 ,然后 防火 墙 从 接收 到 的 数据 包 中 提取 与 安全 策略 相关 的 状态 信息 ,并 将 这 些 信息 保存 在 
一 个 动态 状态 表 中 ,用 于 验证 后 续 的 连接 请 求 。 可 见 ,状态 监视 器 防火 墙 提供 了 一 个 高 安全 
性 的 方案 ,系统 的 执行 效率 提高 了 ,还 具有 很 好 的 可 伸缩 性 和 可 扩展 性 。 如 图 4-8 所 示 为 状 
态 监视 器 防火 墙 工作 原理 图 。 


应 用 层 

应 用 层 传输 层 
传输 层 | 网 络 层 | 传输 层 | 
网 络 层 网 络 层 | 
路 层 数据 链 路 层 全 路 层 
数据 链 路 后 门 门 数据 链 路 层 


[em 


图 4-8 状态 检测 防火 墙 工 作 原理 图 


2. 状态 监视 器 防火 墙 的 特点 


状态 监视 器 防火 墙 的 优点 是 : 具备 检查 IP 包 的 每 个 字段 的 能 力 , 并 遵从 基于 包 中 信息 
的 过 滤 规 则 ,很 容易 实现 应 用 和 服务 的 扩充 ;监测 RPC 和 UDP 之 类 的 端口 信息 (而 包 过 滤 
和 代理 网 关 都 不 支持 此 类 端口 ); 具 有 基于 应 用 程序 信息 验证 一 个 包 状态 的 能 力 。 
但 是 ,其 配置 非常 复杂 , 且 对 数据 包 的 记录 、 测 试 和 分 析 工 作 可 能 会 造成 网 络 连接 的 某 
种 迟滞 。 
三 种 类 型 防火 墙 的 比较 见 表 4-2。 
表 4-2 三 种 类 型 防火 墙 的 比较 


类 型 包 过 滤 型 代 理 型 状态 检测 型 
驯 针 对 应 用 层 数据 进行 过 滤 ，| @ 减 少 了 传统 的 包 过 滤 防 火 
吕 速 度 快 增强 了 可 控 性 墙 的 大 量 开放 端口 等 一 些 
优点 ”| @ 防 火 墙 是 透明 的 ,用 户 端 不 | 加 日志 功 能 加 强 了 对 不 安全 | ”安全 问题 
需要 进行 设置 因素 的 追踪 与 排查 回 降低 了 管理 员 配 置 访问 规 
加 屏蔽 了 内 网 细节 则 的 难度 
加 无 法 过 滤 审 核 数 据 包 的 | 四 速度 较 慢 四 无 法 过 滤 审 核 数据 包 的 
缺点 内 容 回 新 的 网 络 协议 和 应 用 都 需 内 容 
@ 无 法 详细 记录 细致 的 日 志 要 一 套 代理 程序 回 无 法 详细 记录 细致 的 日 志 
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4.4 防火 墙 的 体系 结构 


4.4.1 双 宿 主 堡垒 主机 体系 结构 


双 宿 主 堡垒 主机 体系 结构 提供 来 自 于 多 个 网 络 相连 的 主机 的 服务 , 它 玮 绕 双 重 宿 
主 堡 又 主机 构筑 。 该 双重 宿主 计算 机 位 于 互联 网 与 内 部 网 之 间 , 至 少 有 两 个 网 络 接 
口 , 且 互 联网 和 内 部 网 都 可 以 和 它 通信 ,但 外 部 网 络 和 内 部 网 络 之 间 不 能 直接 通信 。 
它 相 当 于 内 部 网 络 和 外 部 网 络 的 桥梁 ,能 够 提供 较 高 级 别 的 控制 ,可 以 完全 禁止 外 部 
网 络 对 内 部 网 络 的 访问 。 

该 体系 结构 比较 简单 ,如 图 4-9 所 示 。 它 可 以 允许 用 户 登录 到 双重 宿主 主机 ,进而 访问 
外 部 网 络 。 但 这 种 网 络 体系 并 不 安全 ,因为 在 这 种 体系 结构 中 主机 被 用 作 机 构 的 单一 人 口 
点 ,如 果 一 些 不 怀 好 意 的 人 利用 双重 宿主 主机 自身 的 安全 漏洞 ,病毒 感染 或 种 植木 马 将 主机 
攻破 ,那么 该 主机 就 成 了 一 个 路 由 器 ,甚至 可 以 通过 该 主机 对 网 络 进行 重新 设置 。 另 外 ,该 
体系 结构 中 用 户 访问 互联 网 的 速度 会 较 慢 。 


两 块 网 卡 ， 分 别 连接 内 外 网 


图 4-9 双重 宿主 主机 体系 结构 


4.4.2 ”被 屏蔽 主机 体系 结构 


被 屏蔽 主机 体系 结构 防火 墙 使 用 一 个 路 由 器 把 内 部 网 络 和 外 部 网 络 隔离 开 , 其 体系 结 
构 如 图 4-10 所 示 。 该 体系 结构 中 安全 主要 由 数据 包 过 滤 提 供 , 其 中 包括 堡 从 主机。 堡垒 主 
机 是 外 网 主机 唯一 能 连接 到 内 网 的 主机 系统 ,任何 外 网 的 系统 要 访问 内 网 的 主机 或 服务 器 
都 必须 先 连接 到 这 人 台 堡 又 主机 上 。 在 屏蔽 路 由 上 设置 数据 包 过 滤 策 略 , 让 所 有 的 外 部 连接 
只 能 到 达 内 部 堡 人 又 主机。 该 结构 比 双重 宿主 堡垒 主机 体系 结构 更 具有 可 用 性 和 安全 性 , 结 
构 也 相对 较 复杂 。 

该 结构 与 双重 宿主 主机 体系 机 构 最 大 的 差别 是 将 路 由 器 添加 在 主机 和 Internet 之 间 用 
来 进行 IP 数据 包 过 滤 ,而 该 路 由 器 将 堡垒 主机 屏蔽 。 
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es 
， 分 别 连接 内 网 、DMZ 
区 域 和 外 网 ( Intemet ) 


图 4-10 被 屏蔽 主机 体系 结构 


服务 器 


4.4.3 被 屏蔽 子 网 体系 结构 


被 屏 项 子 网 体系 结构 将 额外 的 安全 层 添加 到 被 屏蔽 主机 体系 结构 ,增加 了 安全 层 的 被 
屏蔽 子 网 体系 结构 ,如 图 4-11 所 示 。 它 通过 添加 周边 网 络 更 进一步 地 把 内 网 和 外 网 隔离 
开 。 这 个 周边 网 络 充当 了 内 外 网 的 缓冲 区 , 称 作 * 非 军事 区 ”(DMZ)。 最 简单 的 被 屏 项 子 网 
体系 结构 的 形式 是 两 个 屏蔽 路 由 器 ,一 个 连接 到 DMZ 和 内 网 之 间 , 另 一 个 连接 到 DMZ 和 
外 网 之 间 。 


两 台 防 火 墙 ， 中 间 形 成 DMZ， 
内 部 防火 墙 连接 内 网 ， 外 部 
防火 墙 连接 外 网 


图 4-11 被 屏蔽 子 网 体系 结构 


4.5 防火 墙 配 置 的 基本 原则 


防火 墙 的 具体 配置 方法 不 是 千篇一律 的 ,即使 是 同一 品牌 的 不 同型 号 也 不 完全 一 样 。 
在 默认 情况 下 ,所 有 的 防火 墙 都 可 按 以 下 两 种 方式 进行 配置 : 

(1) 拒绝 所 有 的 流量 。 这 需要 在 自己 的 网 络 中 特别 指定 能 够 进入 和 出 去 的 流量 类 型 ， 
大 多 数 防 火 墙 默认 都 是 拒绝 所 有 的 流量 作为 安全 选项 。 配 置 方法 就 是 先 全 面 禁 止 所 有 流 
量 , 然 后 对 需要 的 某 种 应 用 进行 单独 设置 。 例 如 ,如 果 想 让 自己 的 员工 能 够 发 送 和 接收 
E-mail, 就 必须 在 防火 墙 上 设置 相应 的 规则 ,开启 允许 POP3 和 SMTP 的 进程 。 

(2) 允许 所 有 的 流量 。 这 需要 用 户 特 别 指定 要 拒绝 的 流量 的 类 型 。 配 置 方法 是 先 设置 
允许 可 通过 的 所 有 流量 ,然后 再 对 不 允许 通过 的 流量 进行 禁止 。 这 种 配置 方式 的 安全 性 


不 高 。 
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在 防火 墙 的 配置 中 ,首先 要 遵循 的 原则 就 是 安全 实用 ,从 这 个 角度 考虑 ,在 防火 墙 的 配 
置 过 程 中 需 坚持 以 下 三 个 基本 原则 。 


1. 简单 实用 


越 简单 的 实现 方式 , 越 容易 理解 和 使 用 , 越 不 容易 出 错 , 管 理 起 来 也 越 可 靠 和 简便 。 

防火 墙 产 品 的 初衷 就 是 实现 网 络 之 间 的 安全 控制 , 随 着 技术 的 成 熟 和 发 展 , 防 火 墙 增 加 
了 查 杀 病毒 、 入 侵 检测 等 功能 。 这 些 增值 功能 并 不 是 所 有 应 用 环境 都 需要 ,在 配置 时 也 可 针 
对 具体 应 用 环境 进行 。 


2. 全 面 深 入 


单一 的 防御 措施 难以 保障 系统 的 安全 ,只 有 采用 全 面 的 ,多 层次 的 深层 防御 战略 体系 ， 
才能 实现 系统 的 真正 安全 。 如 一 方面 采用 集 互 联网 边界 防火 墙 .部 门 边界 防火 墙 和 主机 防 
火 墙 于 一 体 的 层次 防御 , 另 一 方面 将 入 侵 检 测 、 网 络 加 密 、 病 毒 查 杀 等 多 种 安全 措施 结合 
一 起 的 多 层 安 全 体系 。 


3. 内 外 兼顾 


防火 墙 的 一 个 特点 是 防 外 不 防 内 ,其 实在 现实 网 络 环 境 中 ,70% 以 上 的 威胁 都 来 自 内 
部 ,所 以 我 们 要 树立 全 面 防护 的 观念 ,部 署 与 其 他 安全 措施 (如 入 侵 检 测 、 主 机 防护 、 漏 洞 扫 
描 \ 病 毒 查 杀 等 ) 一 起 联动 的 机 制 。 目 前 来 说 ,要 做 到 这 一 点 还 比较 困难 。 


4.6 防火 墙 的 选择 


在 市 场 上 ,防火 墙 的 售 价 极为 悬殊 ,从 几 百 元 到 数 十 万 元 。 因 为 各 用 户 使 用 的 安全 程度 
不 尽 相同 ,因此 厂商 所 推出 的 产品 也 有 所 区 分 。 如 何 选择 一 个 安全 实惠、 合适 的 防火 墙 ? 
面 对 种 类 繁多 的 防火 墙 产品 ,用 户 需 要 考虑 如 下 的 因素 。 


1. 考虑 防火 墙 的 基本 功能 


如 果 用 户 需 要 NNTP (Network News Transfer Protocol, 网 络 消息 传输 协议 )、 
XWindow、HTTP 和 Gopher 等 服务 ,防火墙 应 该 包含 相应 的 代理 服务 程序 ,也 应 具有 集中 
邮件 的 功能 ,以 减少 SMTP 服务 器 和 外 界 服务 器 的 直接 连接 ,集中 处 理 整 个 站 点 的 电子 
邮件 。 


2. 考虑 防火 墙 的 可 靠 性 


防火 墙 也 是 网 络 上 的 主机 之 一 ,也 可 能 存在 安全 问题 ,防火 墙 如 果 不 能 确保 自身 安全 ， 
则 其 控制 功能 再 强 也 不 能 完全 保护 内 部 网 络 。 当 黑客 取得 了 防火 墙 上 的 控制 权 以 后 ,几乎 
可 为 所 欲 为 地 修改 防火 墙 上 的 访问 规则 ,进而 侵入 更 多 的 系统 。 因 此 防火 墙 自身 应 有 相当 
高 的 安全 保护 。 
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3. 考虑 用 户 的 特殊 要 求 


不 同 的 用 户 往 往 有 各 自 特殊 的 需求 ,不 是 每 一 个 防火 墙 都 会 提供 的 ,这 成 为 选择 防火 墙 
的 考虑 因素 之 一 ,常见 的 需求 如 下 。 

(1) 网 络 地 址 转换 功能 (NAT) 。 进 行 地 址 转换 有 两 个 好 处 : 其 一 是 隐藏 内 部 网 络 真 正 
的 IP, 使 黑客 无 法 直接 攻击 内 部 网 络 ;其 二 可 以 让 内 部 使 用 保留 的 IP, 这 对 许多 IP 不 足 的 
用 户 是 有 益 的 。 

(2) 双重 DNS。 当 内 部 网 络 使 用 没有 注册 的 IP 地 址 ,或 是 防火 墙 进行 IP 转换 时 ,DNS 
也 必须 经 过 转换 ,因为 同一 主机 的 内 部 IP 与 给 予 外 界 的 IP 将 会 不 同 , 有 的 防火 墙 会 提供 双 
重 DNS, 有 的 则 必须 在 不 同 主机 上 各 安装 一 个 DNS。 

(3) 虚拟 专用 网 络 (VPN)。VPN 可 以 在 防火 墙 与 防火 墙 或 移动 的 客户 端 之 间 对 所 有 
网 络 传输 的 内 容 加 密 ,建立 一 个 虚拟 通道 ,让 两 者 感觉 是 在 同一 个 网 络 上 ,可 以 安全 且 不 受 
拘束 地 互相 存 取 。 

(4) 杀毒 功能 。 大 部 分 防火 墙 都 可 以 与 防 病毒 软件 搭配 实现 杀毒 功能 ,有 的 防火 墙 则 
可 以 直接 集成 杀毒 功能 ,差别 只 是 杀毒 工作 是 由 防火 墙 完成 ,或 是 由 另 一 台 专 用 的 计算 机 

(5) 特殊 控制 需求 。 有 时 候 企业 会 有 特别 的 控制 需求 ,如 限制 特定 使 用 者 才能 发 送 
E-mail,FTP 只 能 下 载 文 件 不 能 上 传 文件 ,限制 同时 上 网 人 数 ,限制 使 用 时 间或 阻塞 Java、 
ActiveX 控件 等 ,根据 需求 不 同 而 定 。 


4. 考虑 用 户 网 络 的 规模 


(1) 对 于 ISP、 网 站 等 用 户 来 说 ,由 于 其 数据 流量 大 ,对 速度 和 稳定 性 要 求 较 高 ,如 果 这 
些 用 户 需 要 在 外 部 网 络 发 布 Web( 将 Web 服务 器 置 于 外 部 ) ,同时 需要 保护 数据 库 或 应 用 
服务 器 ( 置 于 防火 墙 内 ) ,这 就 要 求 所 采用 的 防火 墙 具 有 传送 SQL 数据 的 功能 ,建议 这 些 用 
户 采 用 高 效 的 包 过 滤 型 并 且 只 允许 外 部 Web 服务 器 和 内 部 传送 SQL 数据 使 用 .100MB 及 
以 上 带宽 的 硬件 防火 墙 。 

(2) 对 于 大 中 型 企业 金融、 保险 ,政府 等 机 构 , 共 同 之 处 在 于 网 络 流量 虽然 不 是 很 大 ， 
但 其 内 部 数据 比较 重要 ,因此 在 选 购 防 火 墙 时 首要 考虑 的 就 是 安全 性 问题 。 防 火 墙 至 少 要 
能 够 将 内 部 网 分 成 两 部 分 , 即 内 部 存放 重要 数据 的 网 络 与 存放 可 提供 外 部 访问 数据 的 网 络 
的 分 离 。 对 于 重要 数据 的 传送 ,防火 墙 必须 要 有 加 密 的 VPN 通信 。 

(3) 中 小 企业 接 入 Internet 的 目的 一 般 是 为 了 方便 内 部 用 户 浏览 Web 收发 E-mail 以 
及 发 布 主 页 。 这 类 用 户 在 选 购 防 火 墙 时 ,要 注意 考虑 保护 内 部 (敏感 ) 数 据 的 安全 。 建 议 这 
类 用 户 选 用 一 般 的 代理 防火 墙 .具有 HTTP、E-mail 等 代理 功能 即 可 。 

(4) 对 于 普通 用 户 ,采用 一 般 的 个 人 软件 防火 墙 就 能 满足 实际 的 需要 了 。 比 如 
Windows 防火 墙 、 瑞 星 个 人 防火 墙 等 。 

随 着 人 们 对 防火 墙 的 不 断 重视 .防火墙 技术 日 趋 成 熟 , 全 球 有 众多 公司 或 科研 机 构 通 过 
对 防火 墙 技术 的 不 断 研 究 ,成功 研制 并 开发 出 了 自己 的 防火 墙 系统 。 在 国外 ,著名 的 硬件 防 
火 墙 有 Cisco、Juniper Netscreen 等 ,软件 防火 墙 有 微软 的 ISA Server 2006 等 。 在 国内 , 近 
来 的 防火 墙 技 术 也 得 到 了 飞速 的 发 展 ,多 家 公司 或 科研 机 构 也 研制 开发 出 了 自己 的 防火 墙 
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系统 ,如 华为 Eudemon 防火 墙 、 联 想 网 御 防 火 墙 和 方正 方 御 防火 墙 , 大 部 分 通过 了 国家 公安 
部 等 机 构 的 测试 , 深 受 人 们 喜爱 。 


4.7 Windows 防火 墙 


Windows XP SP2(Service Pack 2) 内 置 新 的 Windows 防火 墙 , 它 取代 了 ICF (Internet 
Connection Firewall, Internet 连接 防火 墙 ) 。Windows 防火 墙 是 一 个 基于 主机 的 状态 防火 
墙 , 它 会 断 开 非 请 求 的 传人 通信 ,这 些 通信 指 并 非 为 响应 计算 机 的 请 求 而 发 送 的 通信 (请 求 
通信 ) 或 被 指定 为 可 允许 的 非 请 求 通信 (例外 通信 )。Windows 防火 墙 针 对 依靠 非 请 求 传人 
通信 攻击 网 络 计算 机 的 恶意 用 户 和 程序 提供 了 一 定 程度 的 保护 。 

在 这 一 节 , 主 要 掌握 Windows 防火 墙 的 一 般 设置 方法 ,利用 Windows 防火 墙 拦截 某 些 
端口 .打开 防火 墙 默 认 拦 截 的 某 些 端 口 。 


4.7.1 Windows 防火 墙 的 一 般 设置 方法 


1. 启用 Windows 防火 墙 


右 击 桌面 上 “网 上 邻居 ”图 标 , 在 弹出 菜单 中 选择 [属性 命令 ,出 现 [ 网 络 连 接 ] 窗 口 。 在 
窗口 中 右 击 【 本 地 连接 图标 ,在 弹出 菜单 中 选择 [属性 3 命令 ,出 现 [ 本 地 连接 属性 对 话 框 ， 
选择 [高 级 选项 卡 ,如 图 4-12 所 示 。 


EE st 
各 所 -日 完 1 | 

地 址 (0) 全 网 入 各 | hindos 防火 壤 一 一 一 一 一 一 一 一 一 一 一 
see a Ht EE 


1 
外 


图 4-12 【本 地 连接 属性 ] 对 话 框 


单 击 【 高 级 〗 选 项 卡 上 的 [设置 按钮 ,弹出 【Windows 防火 墙 ] 对 话 框 ,选择 【常规 】 选 
项 卡 , 选 择 [ 启 用 】 选 项 ,再 单 击 【确定 3 按钮 ,启用 Windows XP 内 置 的 防火 墙 , 如 图 4-13 
所 示 。 

【Windows 防火 墙 〗 对 话 框 包括 下 列 选项 卡 : 常规 、 例 外 和 高 级 。 
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1)【 常 规 ] 选 项 卡 

【常规 选项 卡 及 其 默认 设置 显示 在 图 4-13 
中 。 在 【常规 ] 选 项 卡 中 ,可 以 进行 下 列 选择 。 多 nma 

(1) 启用 (推荐 )。 选 择 该 项 ,对 【高 级 】 ”WD 册 通过 Internet 或 网 络 访问 人 的 计算 
选项 卡 中 选 定 的 所 有 网 络 连接 启用 


阮 “aaa 
Windows 防火 墙 。 启 用 Windows 防火 墙 后 让 了 了 在 “ih” 过 项 
将 只 允许 请 求 的 和 例外 的 传人 通信 ,例外 通 Pe 
信 在 【例外 ] 选 项 卡 中 进行 配置 。 Fe 


如 果 选 择 [ 启 用 (推荐 )] 单 选 按 钮 , 则 可 
以 选中 [不 允许 例外 ] 复 选 框 。 选 中 该 选项 将 ”网 nn oh 
只 多 许 请 求 的 传 和 通信。 不 管 [高 级 ] 选 项 卡 二 
中 的 设置 如 何 ,【 例 外 】 选 项 卡 中 的 设置 将 被 
忽略 ,所 有 的 网 络 连接 都 将 得 到 保护 。 

(2) 关闭 (不 推荐 ) 。 选 择 该 选项 ,将 禁 
用 Windows 防火 墙 。 不 推荐 使 用 此 选项 ， 图 4-13 【Windows 防火 墙 ] 对 话 杠 
尤其 是 对 于 可 以 直接 从 Internet 进行 访问 
的 网 络 连接 ,除非 已 经 使 用 了 第 三 方 的 主机 防火 墙 产品 。 


医 注 意 : 对 于 所 有 运行 带 有 SP2 的 Windows XP 的 计算 机 连接 和 新 创建 的 连接 ， 
Windows 防火 墙 的 默认 设置 都 是 选中 [启用 (推荐 )] 单 选 按钮 。 这 会 影响 那些 依赖 非 
请 求 传 入 通信 的 程序 或 服务 的 通信 。 在 这 种 情况 下 ,必须 识别 出 哪些 程序 不 再 运行 ， 
并 且 将 这 些 程序 或 其 通信 添加 为 例外 通信 。 许 多 程序 ,诸如 Internet 浏览 器 和 电子 邮 
件 客 户 端 (如 Outlook Express) ,并 不 依赖 非 请 求 通信 ,并 且 可 以 在 Windows 防火 墙 启 
用 时 正常 运行 。 


2)【 例 外 3 选项 卡 

【例外 3 选项 卡 及 其 默认 设置 如 图 4-14 所 示 。 

在 [例外 】 选 项 卡 中 ,可 以 启用 或 禁用 一 个 现 有 的 程序 或 服务 .或 者 维护 用 于 定义 例外 通 
信 的 程序 和 服务 列表 。 在 【常规 ] 选 项 卡 中 选 定 【 不 允许 例外 】 复 选 框 后 ,例外 通信 将 不 被 
人 允许。 

(1) 添加 程序 : 单 击 [ 添 加 程序 按钮 ,显示 【添加 程序 ] 对 话 框 ,可 以 从 中 选择 一 个 程序 
或 者 浏览 查找 一 个 程序 文件 名 ,如 图 4-15 所 示 。 

(2) 添加 端口 : 单 击 【 添 加 端口 3 按钮 ,显示 [添加 端口 对 话 框 ,可 以 从 中 配置 TCP 或 
UDP 端口 ,如 图 4-16 所 示 。 

Windows 防火 墙 允许 指定 例外 通信 的 范围 ,这 个 范围 定义 了 哪 一 部 分 的 网 络 连接 产生 
的 例外 通信 是 被 允许 的 。 要 定义 一 个 程序 或 端口 的 范围 ,应 单 击 【 更 改 范围 3 按钮 ,打开 的 对 
话 框 如 图 4-17 所 示 。 

在 定义 一 个 程序 或 端口 的 范围 时 ,有 三 个 选项 可 以 选择 : 

QO@ 任意 计算 机 (包括 Internet 上 的 计算 机 )。 从 任何 IPv4 地 址 发 出 的 例外 通信 都 是 被 
允许 的 。 这 种 设置 可 能 会 使 计算 机 容易 受到 Internet 上 的 恶意 用 户 或 程序 的 攻击 。 


< 


第 4 章 防火墙 


本 
钴 全 | 高 衣 | 


栈 Internet Explorer 
著 Internet 伙 转 棋 
埠 Internet 黑 桃 王 
够 Internet 红心 大 战 

万 Internet 观 陆 模 

千 Internet 跳棋 

响 outlook Express 
@Uninstall WinFcsp 4.0.2 


添加 程序 @B)... | 添加 端口 吕 ). .| 编辑 EE) 册 除 加) | 各 Yintos Novie Waker 国 
厅 Windows 防火 墙 阻止 程序 时 通知 我 0 路 径 : [VPromrn FilesWEiSeeWEiSee exe 浏览 四) 


北 许 例 外 存在 什么 风险 ? 


更 改 范围 c) .| 取消 
图 4-14 【例外 3 选项 卡 图 4-15 【添加 程序 ] 对 话 框 
x “FEI > 


3 笠 让 的 的 山中 卫生 译 ， 请 单 击 下 面 的 
Fi 请 输入 以 逗号 分 隔 的 IP 地 址 ， 子 网 或 同时 包括 IF 地 


ME ns 


i 
sh QQWQWQN— 6 rere FREAD) 
端口 号 到) 


个 自 定 义 列表 CC); 
位 TCEC) ww 
| 二 
打开 端口 有 何 风 险 ? 示例 : 192. 168. 114. 201, 192. 168. 114. 201/255. 255. 255.0 
am | my | mg | 


个 羽 我 的 网 络 子 网 ) 四) 


图 4-16 【添加 端口 对话 框 图 4-17 【更 改 范围 ] 对 话 杠 


@ 仅 我 的 网 络 ( 子 网 )。 只 有 从 符合 以 下 条 件 的 IPv4 地 址 发 出 的 例外 通信 才 是 被 允许 
的 , 即 与 接收 通信 的 网 络 连接 所 连 的 本 地 网 络 段 ( 子 网 ) 相 匹配 的 IPv4 地 址 被 允许 。 比 如 ， 
如 果 网 络 连接 所 配置 的 IPv4 地 址 是 192. 168. 12. 101 ,并 带 有 子 网 掩 码 255. 255. 0. 0 ,那么 
只 有 从 192.168.0.1 到 192.168. 255. 254 的 IPv4 地 址 发 出 的 例外 通信 才 是 被 允许 的 。 

@ 自 定义 列表 。 可 以 指定 一 个 或 多 个 用 逗号 分 割 的 IPv4 地 址 或 IPv4 地 址 范围 。 
IPv4 地 址 范围 通常 对 应 于 子 网 。 对 IPv4 地 址 来 说 ,用 点 分 十 进 制 记 法 键入 IPv4 地 址 。 对 
IPv4 地 址 范围 来 说 ,可 以 使 用 点 分 十 进 制 子 网 掩 码 或 前 绥 长 度 来 指定 一 个 范围 。 当 使 用 点 
分 十 进 制 子 网 掩 码 时 ,可 以 把 范围 指定 为 一 个 IPv4 网 络 ID( 如 10. 10. 4. 0/255. 255. 255. 0) 
或 者 使 用 一 个 在 范围 内 的 IPv4 地 址 (如 172. 16. 10. 11/255. 255. 255. 0) 来 指定 范围 。 当 使 
用 网 络 前 缀 长 度 时 ,可 以 将 范围 指定 为 一 个 IPv4 网 络 ID( 如 172. 16. 31. 0/24) 或 者 使 用 一 
个 在 范围 内 的 IPv4 地 址 (如 10. 10. 5. 10/24) 来 指定 范围 。 下 面 是 自 定义 列表 的 一 个 示例 : 

192. 168. 2. 102,10. 10. 4. 0/255. 255. 255. 0,172. 16. 31. 0/24,172. 16. 10. 11/255. 255. 255. 0 
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在 只 允许 本 地 网 络 中 的 计算 机 (它们 都 连接 在 同一 个 子 网 中 ) 访 问 一 个 程序 或 服务 ,而 
不 允许 潜在 的 恶意 Internet 用 户 访 问 时 ,“ 仅 我 的 网 络 ( 子 网 )” 范 围 会 很 有 用 。 

程序 或 端口 一 旦 被 添加 , 它 就 在 【程序 和 服务 列表 中 被 默认 禁用 。 

对 于 在 【高 级 选项 卡 中 选 定 的 所 有 连接 ,所 有 在 【例外 3 选项 卡 中 启用 的 程序 和 服务 都 
将 启用 。 

3)【 高 级 选项 卡 

【高 级 选项 卡 包括 下 面 几 个 部 分 ,图 4-18 显示 了 【高 级 选项 卡 。 


到 
第 规 | 例外 高 大 | 
三 网 络 连接 设置 
Ei 
= ©.. | 
广安 全 日 志 记录 
您 可 以 创建 用 于 疑难 解答 的 日 志文 件 。 | 
-ICMP 
于 和 Oo) ,网 络 上 的 计 设置 到 ). | 
三 默认 设置 
要 Yindows 防火 墙 设置 还 原 为 默认 状态 ， 还 原 为 黑 认 值 @)| 


图 4-18 【高 级 ] 选 项 卡 


(1) 网 络 连接 设置 。 在 【网 络 连接 设置 3 选项 区 中 ,可 以 指定 一 组 用 于 启用 Windows 防 
火 墙 的 接口 。 如 要 启用 ,应 选中 网 络 连 接 名 称 旁边 的 复 选 框 。 如 要 禁用 ,应 取消 选中 该 复 选 
框 。 默 认 情况 下 ,所 有 的 网 络 连接 都 启用 了 Windows 防火 墙 。 如 果 某 个 网 络 连接 没有 出 现 
在 此 列表 中 ,那么 它 就 不 是 一 个 标准 网 络 连接 。 这 方面 的 例子 包括 一 些 Internet 服务 提供 
商 (ISP) 提 供 的 自 定义 拨号 程序 。 

单 击 一 个 网 络 连 接 的 名 称 ,然后 单 击 【 设 置 ] 按 钮 , 即 可 以 配置 这 个 网 络 连接 的 高 级 
设置 。 

如 果 清 除了 【网 络 连 接 设置 ] 选 项 区 中 的 所 有 复 选 框 ,Windows 防火 墙 将 不 再 保护 计算 
机 ,不 管 是 否 已 经 在 [常规 ] 选 项 卡 中 选择 了 【启用 (推荐 )] 单 选 按 钮 都 是 如 此 。 如 果 在 【[ 常 
规 〗 选 项 卡 中 选择 了 【不 允许 例外 】 复 选 框 【网 络 连 接 设 置 ] 选 项 区 中 的 设置 就 会 被 忽略 ,在 
这 种 情况 下 所 有 的 接口 都 将 被 保护 。 

单 击 【设置 3 按钮 【高 级 设置 ] 对 话 框 即 会 显示 ,如 图 4-19 所 示 。 

在 【高 级 设置 】 对 话 框 中 ,可 以 在 【服务 选项 卡 中 ( 仅 通 过 TCP 或 UDP 端口 ) 配 置 特定 
的 服务 ,或 者 在 ICMP 选项 卡 中 启用 特定 的 ICMP 通信 类 型 。 
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(2) 安全 日 志 。 在 【安全 日 志 记录 了 选项 区 中 , 单 击 【设置 ] 按 钮 ,在 打开 的 【日 志 设置 对 
话 框 中 指定 Windows 防火 墙 日 志 的 配置 ,如 图 4-20 所 示 。 
司 要 
服务 |Icwe | 
人 用 户 可 以 访问 的 运行 于 您 的 网 络 上 的 服 


日 Internet 邮件 访问 协议 版 本 3 CUP3) | 


名 称 吕 : 
wmaoswsirwaul les 另存 为 由 
大 小 限制 KB) G) es | 


添加 四 ). 编辑 江 ). | 出 除 途 ) 


se | ww | 
图 4-19 网络 连 接 的 [高 级 设置 ] 对 话 框 图 4-20 【日 志 设置 ] 对 话 框 


在 【日 志 设 置 ] 对 话 框 中 ,可 以 配置 是 否 记 录 丢 弃 的 数据 包 和 成 功 的 连接 ,并 且 指 定 日 志 
文件 (默认 设置 为 Systemroot\pfirewall. log) 的 名 称 和 位 置 及 其 最 大 的 数据 量 。 

(3) ICMP。 在 【ICMP] 选 项 区 中 ,可 以 单 击 
【设置 按钮 来 指定 在 【ICMP 设置 3 对 话 框 中 允许 ee 
的 ICMP 通信 类 型 ,如 图 4-21 所 示 。 ee 

在 [ICMP 设置 ] 对 话 框 中 ,可 以 启用 或 禁用 传 


口 允许 传 入 时 间 改 请 求 
入 ICMP 消息 的 类 型 , Windows 防火 墙 允 许 所 有 在 。 | 日 人 从 和 二 
【高 级 ] 选 项 卡 中 选 定 的 连接 使 用 这 些 消息 。ICMP | 人 wT 本 
消息 被 用 来 进行 诊断 ,报告 错误 条 件 和 进行 配置 。 | ws 委 
默认 情况 下 ,列表 中 的 任何 ICMP 消息 都 不 被 允许 。 口 共 和 昌 二 司 


解决 连接 问题 的 一 个 常用 方法 就 是 使 用 ping | 
工具 来 测试 试图 连接 的 计算 机 的 地 址 。 在 用 ping | 乡 交 相手 于 才 半 光 遇 
命令 时 ,发 送 一 个 ICMP Echo 消息 后 会 收 到 一 个 
ICMP Echo Reply 消息 。 默 认 情 况 下 , Windows 防 
火 墙 不 允许 传人 ICMP Echo 消息 ,因此 计算 机 就 不 
能 回 送 一 个 ICMP Echo Reply。 要 配置 Windows 防 
火 墙 以 使 其 允许 传人 ICMP Echo 消息 .必须 选中 [允许 传人 回 显 请 求 ] 复 选 框 。 

(4) 默认 设置 。 单 击 【恢复 默 认 值 ] 按 钮 .将 Windows 防火 墙 重 置 为 它 的 原始 安装 状态 。 


2. 关闭 Windows 防火 墙 


Cme ] ws | 
图 4-21 【ICMP 设置 ] 对 话 框 


在 如 图 4-13 所 示 的 【Windows 防火 墙 ] 对 话 框 中 选择 【关闭 (不 推荐 )] 单 选 按钮 , 单 击 
【确定 了 按钮 即 可 。 
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4.7.2 Windows 防火 墙 的 应 用 


1. 让 Windows XP SP2 正确 识别 UPnP( 通 用 即 插 即 用 ) 


BitComet 以 其 拥有 内 网 互联 (NAT Traversal) 技术 ,而 且 支 持 UPnP 的 NAT 和 
Windows XP 防火 墙 ,让 内 网 的 朋友 在 进行 BT 下 载 时 可 以 获得 相当 快 的 下 载 速度 。 但 自 
从 升级 到 SP2 并 启用 了 Windows 防火 墙 后 , BitComet 软件 速度 变 得 很 慢 ! 这 是 由 于 防火 
墙 没 有 设置 好 ,使 得 系统 没 能 正确 识别 UPnP 设备 。 

(1) Windows XP 默认 是 支持 UPnP 的 ,如 果 在 【例外 】 选 项 卡 中 看 不 到 这 个 选项 , 则 说 
明 没 有 安装 UPnP 设备 支持 。 打 开 【 网 上 邻居 窗口 ,在 其 左 侧 的 列表 中 单 击 【显示 联 网 的 
UPnP 设备 的 图 标 】 超 链接 ,如 果 UPnP 设备 文件 没有 安装 或 安装 不 正确 ,系统 就 会 自动 安 
装 ,如 图 4-22 所 示 。 


文件 (E) 编 和 喜 看 b) 收藏 (工具 (D) 天助 由 
加 再: 日 - 依 | 由 时 [D | 加 
地 址 加 | 同 同上 sp 局 可 图 痢 
MEEITTOEELI3RSSSSEEE SC 半 


为 帮 | 计算 机 ，Windows 防火 墙 已 经 阻止 UPnP 设备 软件 从 网 络 接收 信息 。 需 要 


此 信 , 


避 
g Es i 这 样 软 件 可 以 检测 联网 的 UPnP 设备 ? 如 果 您 单 击 ” 
< 


图 4-22 显示 联网 的 UPnP 设备 的 图 标 


(2) 打开 防火 墙 配置 窗口 并 启动 防火 墙 , 确 认 没 选中 [不 允许 例外 3 选项 ; 当 打 开 BitComet 
后 ,Windows 防火 墙 有 可 能 会 提示 用 户 是 否 要 阻止 该 程序 ,选择 【解除 阻止 ] 选 项。 
(3) 选择 [例外 】 选 项 卡 , 选 中 [UPnP 框架 ] 复 选 框 即 可 。 


2. 给 远程 管理 开 个 通行 证 


当 通 过 MMC(Microsoft Management Console, 微 软 管理 控制 台 ) 中 的 计算 机 管理 、 磁 
盘 管 理 等 组 件 远程 管理 程序 来 管理 局 域 网 上 的 其 他 计算 机 时 ,计算 机 必须 开放 TCP 445 端 
口 。 如 果 在 远程 操作 已 经 安装 Windows XP 并 开启 了 防火 墙 的 计算 机 时 ,就 得 手动 打开 这 
个 TCP 端口 ,方法 如 下 : 

(1) 打开 [Windows 防火 墙 ] 和 窗口 .切换 到 [例外 】 选 项 卡 ,选中 [文件 和 打印 机 共享 ] 复 
选 框 。 

(2) 单 击 [ 编 辑 ] 按 钮 ,在 打开 的 【编辑 服务 窗口 中 选中 [TCP 445】 复 选 框 , 单 击 【 更 改 
范围 ] 按 钮 ,选中 [5 仅 我 的 网 络 ( 子 网 ) 了 单 选 按钮 或 者 选中 [ 自 定 义 列 表 了 单 选 按钮 并 输入 要 控 
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制 的 计算 机 的 IP 地 址 ,如 图 4-23 所 示 。 


常规 ”例外 | 证 | 
A | 
人 .要 J 开 潢 口 ， 汪 


程序 和 服务 中 ): 


penu exe 称 | 范围 
回 pamu exe 回 TCF 139 子 网 
口 wenz 框架 回 TC 445 子 网 
回声 件 和 打印 机 共享 | 回 wD 137 子 网 
回 远 程 协助 MIMP 138, 子 网 


四 | 更改 范 四 hn 
要 和 枯 计 车 并 是 逢 和 国 1 起 计 算 机 上 上 的 滞 入 次 可 汉 :请 单 击 


ri 请 输入 以 逗号 分 隔 的 IF 地 址 ， 子 网 或 同时 包括 IF 
添 思 个 任何 计算 机 (包括 Internet 上 的 计算 机 ) (&) 

6 机 我 的 国语 字 同 ) i) 
个 自 定义 列表 已 ); 


| 


示例 : 192. 168. 114. 201, 192. 168. 114. 201/255, 255. 255.0 


图 4-23 开放 TCP 445 端口 


3.“ 远 程 桌面 ”连接 


通过 Windows XP 防火 墙 实现 远程 协助 的 方法 很 简单 。 远 程 协助 使 用 的 是 动态 端口 。 
在 [Windows 防火 墙 ] 对 话 框 中 的 【例外 3 选项 卡 上 的 【程序 和 服务 了 列表 框 中 选择 【远程 协 
助 ] 复 选项 ,这 样 Windows 将 自动 监视 并 正确 处 理 来 自 sessmgr. exe 应 用 程序 的 所 有 通信 
请 求 并 完成 连接 。Windows NetMeeting 的 远程 桌面 要 复杂 一 些 ,尽管 在 【例外 】 选 项 卡 中 
有 【远程 桌面 3 选项 ,但 是 如 果 选 择 这 个 选项 ,实际 是 开放 了 TCP 的 3389 端口 ,因此 可 能 无 
法 完成 远程 桌面 连接 。 

在 Windows 防火 墙 打 开 的 情况 下 ,在 可 以 使 用 Windows NetMeeting 的 远程 桌面 共享 
功能 之 前 ,必须 向 Windows 防火 墙 的 【例外 3 选项 卡 上 【程序 和 服务 了 列表 框 中 分 别 为 
%systemroot%\System32\Mnmsrvce. exe 文件 和 C:\ProgramFiles\NetMeeting\conf. exe 
文件 添加 程序 ,如 图 4-24 所 示 。 


4. 只 让 内 网 用 ping 命令 连接 本 机 


在 默认 情况 下 ,Windows XP 防火 墙 不 允许 ICMP 入 站 数据 进入 ,也 就 不 会 回复 ICMP 
返回 的 数据 ,这 样 可 以 防止 用 户 使 用 检查 网 络 故 障 常用 的 命令 工具 “Ping” 来 探测 计算 机 。 
不 过 这 样 对 于 一 些 启用 了 共享 上 网 的 用 户 , 内 网 也 无 法 用 ping 命令 来 检查 本 地 网 络 情况 
了 。 解 决 方法 如 下 : 

方法 一 : 按照 前 述 的 方法 ,分别 使 [文件 和 打印 机 共享 3 中 所 打开 的 TCP 端口 适用 于 子 
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BE xl 
第 规 。 例外 | 高 史 | 


许 与 程序 的 通信 ， 


本 Internet Explorer 
确 Internet 全 苇 棋 
侯 Internet 黑 桃 王 
名 Internet 红心 大 战 

亡 Internet 观 陆 模 

请 Internet 跳棋 

了 0utlook Express 
@ninstall Winpcap 4.0.2 
AR 


路 径 ， rorw FilesWeWeetingvconf exe 


更 改 范围 加 | 确定 | 


图 4-24 ” NetMeeting 远程 桌面 的 设置 


方法 二 : 打开 [Windows 防火 墙 ] 对 话 框 ,切换 到 [高 级 】 选 项 卡 ,双击 与 内 网 连接 的 [本 
地 连接 了 复 选 框 ,再 切换 到 【ICMP 设置 ] 对 话 框 ,选中 [允许 传 入 回 显 请 求 ] 复 选 框 ,然后 确认 
所 有 操作 。 

提示 : ICMP(Internet Control Message Protocol,Internet 控制 消息 协议 ) 是 TCP/ 
IP 协议 徐 中 的 一 个 子 协议 ,用 于 在 IP 主机、 路 由 器 之 间 传 递 控制 消息 。 控 制 消息 是 指 网 络 
通 不 通 、 主 机 是 否 可 达 、 路 由 是 否 可 用 等 网 络 本 身 的 消息 ,这 些 控制 消息 虽然 并 不 传输 用 户 
数据 ,但 是 对 于 用 户 数据 的 传递 起 着 重要 的 作用 。 在 网 络 中 经 常会 使 用 到 ICMP 协议 ,只 不 
过 我 们 觉察 不 到 而 已 。 比 如 我 们 经 常 使 用 的 用 于 检查 网 络 通 不 通 的 ping 命令 实际 上 就 是 
ICMP 协议 工作 的 过 程 ,还 有 诸如 跟踪 路 由 的 tracert 命令 也 是 基于 ICMP 协议 的 。 


4.8 习 题 


. 简 述 防火 墙 的 主要 功能 。 

. 简 述 防火 墙 的 分 类 。 

. 对 比 各 类 防火 墙 的 特点 。 

. 简 述 防火 墙 采用 的 主要 技术 ,比较 它们 的 优 缺 点 。 

. 简 述 防火 墙 有 哪 几 种 体系 结构 。 

. 防火 墙 配置 的 基本 原则 是 什么 ? 

. 简 述 用 户 在 选择 防火 墙 时 考虑 的 主要 因素 。 

. 简 述 如 何 使 用 Windows 防火 墙 关闭 或 打开 端口 ,举例 说 明 。 


oo 下 辐 必 oo 


人 


a 
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本 章 学 习 目 标 : 

。 ISA Server 2006 的 主要 功能 。 

。 ISA Server 2006 的 安装 。 

。 ISA Server 2006 的 网 页 缓存 。 

。 ISA Server 2006 的 客户 端 应 用 。 

。 ISA Server 2006 在 网 络 保护 方面 的 配置 。 


ISA(Internet Security and Acceleration ,Internet 安全 和 加 速 ) Server 是 微软 公司 推出 
的 一 款 网 关 型 安全 产品 ,是 一 款 优秀 的 软件 防火 墙 。ISA Server 具备 防火 墙 \ 应 用 层 防 护 、 
VPN 与 网 页 缓存 等 优异 功能 ,是 企业 网 络 安全 防护 的 绝 佳 选择 。 自 从 在 2000 年 推出 ISA 
Server 2000 版 本 以 来 ,特别 受用 户 欢迎 ,在 中 .小 型 企业 中 得 到 了 广泛 应 用 。ISA Server 
2006 是 ISA Server 的 最 新 版 本 。 


5.1 ISA Server 简介 


ISA Server 是 建立 在 Windows Server 2003 操作 系统 上 的 一 种 可 扩展 的 企业 级 防火 墙 
和 Web 缓存 服务 器 。ISA Server 的 多 层 防 火 墙 可 以 保护 网 络 资源 免 受 病毒 .黑客 的 和 人 侵 和 
未 经 授权 的 访问 。 而 且 , 通 过 本 地 而 不 是 Internet 为 对 象 提 供 服 务 ,其 Web 缓存 服务 器 多 
许 组 织 能 够 为 用 户 提供 更 快 的 Web 访问 。 在 网 络 内 安装 ISA Server 时 ,可 以 将 其 配置 成 
防火 墙 ,也 可 以 配置 成 Web 缓存 服务 器 ,或 两 者 兼备 。 


5.1.1 ISA Server 2006 的 主要 功能 

ISA Server 2006 是 一 款 优秀 的 符合 现代 企业 需求 的 多 功能 产品 ,其 优异 的 功能 主要 表 
现在 以 下 几 个 方面 。 

1. 防火 墙 (Firewall) 


ISA Server 2006 可 以 安装 成 专用 防火 墙 ,控制 内 部 网 络 与 Internet 之 间 的 通信 ,增强 
网 络 的 安全 性 。 还 可 以 利用 它 安 全 地 发 布 企业 内 部 的 服务 器 (例如 网 站 .电子 邮件 服务 器 
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等 ) ,以便 让 客户 与 合作 伙伴 来 分 享 内 部 网 络 的 资源 。 

作为 防火 墙 ,ISA Server 2006 允许 设置 一 组 广泛 的 规则 ,以 指定 能 够 通过 ISA Server 
2006 的 站 点 、 协 议和 内 容 , 由 此 实现 商业 Internet 安全 策略 。 通 过 监视 内 部 客户 端 和 
Internet 之 间 的 请 求 和 响应 ,ISA Server 2006 可 以 控制 哪些 人 能 够 访问 公司 网 络 里 的 哪 台 
计算 机 。ISA Server 2006 还 能 控制 内 部 客户 端 能 够 访问 Internet 上 的 哪 台 计 算 机 。 


2. 虚拟 专用 网 (VPN) 


虚拟 专用 网 (VPN) 可 以 让 远程 用 户 与 局 域 网 (LAN) 之 间 , 或 者 是 分 别 位 于 两 地 的 局 域 
网 之 间 ,通过 Internet 来 建立 一 个 安全 的 通道 。 


3. Web 缓存 服务 器 

通过 将 用 户 经 常 访问 的 网 页 保存 到 ISA Server 2006 的 硬盘 与 内 存 (RAM) ,不 但 让 用 
户 更 快 地 访问 到 所 需 的 网 页 ,同时 也 可 以 提高 网 络 的 效率 ,节省 网 络 的 带宽 。 
5.1.2 多 网 络 结构 


ISA Server 支持 多 网 络 结构 ,例如 ISA Server 同时 连接 总 公司 网 络 .分 公司 网 络 `.DMZ 
网 络 、 外 地 VPN 客户 端 网 络 与 外 部 网 络 (Internet) ,如 图 5-1 所 示 。 


$0 


分 公司 网 络 


gg» 


总 公司 网 络 


Web 服 务 器 著 体 服务 器 。 外 部 网 络 
外 地 VPN 客 户 端 


边界 网 络 (如 DMZ) 
图 5-1 ISA 多 网 络 结构 示例 


在 这 种 多 网 络 (网 络 集 ) 结 构 中 ,可 以 通过 ISA Server 防火 墙 来 设置 在 任意 两 个 网 络 之 
间 的 连接 规则 ,从 而 允许 网 络 之 间 相 互 访问 。 这 种 连接 规则 在 ISA Server 中 称 为 网 络 
规则 。 


5.1.3 防火 墙 的 设置 种 类 和 网 络 模板 


ISA Server 包含 与 常见 网 络 拓扑 对 应 的 网 络 模板 ,每 种 网 络 模板 对 应 一 种 防火 墙 的 设 
置 种 类 ,ISA Server 会 自动 根据 用 户 当前 的 网 络 环境 和 配置 选择 一 种 默认 的 模板 。ISA 
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Server 的 网 络 模板 主要 分 为 边缘 防火 墙 、3 向 外 围 网 络 防火 墙 . 前 端 防火 墙 \ 后 端 防火 墙 和 
单一 网 络 适配器 五 种 。 这 些 网 络 模板 提供 了 一 些 默认 策略 ,通过 应 用 模板 将 ISA Server 配 
置 为 某 种 防火 墙 时 ,ISA Server 将 按照 所 选 模板 的 默认 策略 配置 网 络 规则 和 防火 墙 策略 。 


1. 边缘 防火 墙 


如 图 5-2 所 示 为 边缘 防火 墙 的 架构 ,其 中 的 
ISA Server 防火 墙 计算 机 有 两 个 网 络 接口 (例如 
两 片 网 卡 ) ,一 个 网 络 接口 连接 到 内 部 网 络 , 另 一 
个 连接 到 外 部 网 络 (Internet)。 也 就 是 说 防火 墙 
介 于 内 部 网 络 与 Internet 之 间 。 这 种 架构 能 够 
保护 内 部 网 络 的 安全 ,避免 外 来 和 人 侵 者 访问 内 部 图 5-2 边缘 防火 墙 
网 络 资源 。 也 可 以 开放 让 内 部 用 户 来 访问 外 部 
资源 ,这 是 最 容易 架设 的 防火 墙 架构 。 

如 果 想 保护 网 络 不 会 被 他 人 访问 ,同时 允许 公司 网 络 上 的 用 户 进 行 特 定 的 访问 ,可 以 将 
ISA Server 设置 作为 边缘 防火 墙 。 


2. 三 向 外 围 网 络 防火 墙 


如 图 5-3 所 示 , 这 种 方案 涉及 设置 具备 3 个 网 络 适 配器 的 ISA Server: 一 个 网 络 适 配器 
连接 到 Internet( 外 部 网 络 ) , 另 一 个 连接 到 内 部 网 络 ,第 三 个 连接 到 外 围 网 络 。 这 是 一 种 非 
常 典型 的 网 络 配置 方案 ,三 向 外 围 网 络 模板 适用 于 这 种 方案 。 此 模板 采用 ISA Server 连接 
到 内 部 网 络 、 外 部 网 络 和 外 围 网 络 ( 也 称 DMZ 网络 隔离 或 被 筛选 的 子 网 ) 的 网 络 拓扑 。 


3. 前 端 防火 墙 


如 图 5-4 所 示 ,这 种 方案 涉及 在 网 络 的 边缘 部 署 ISA Server, 其 中 在 后 端 配置 另 一 个 防 
火 墙 ,用 于 保护 内 部 网 络 。 在 这 个 方案 中 ,ISA Server 作为 背靠背 外 围 网 络 配置 中 的 防御 前 
线 。 前 端 网 络 模板 适用 于 这 个 方案 。 此 模板 采用 ISA Server 在 网 络 边 缘 , 另 一 个 防火 墙 配 
置 在 后 端 ( 保 护 内 部 网 络 ? 的 网 络 拓扑 。 


图 5-3 三 向 外 围 网 络 防火 墙 图 5-4 前 端 防火 墙 


4. 后 端 防火 墙 
如 图 5-5 所 示 ,这 种 方案 涉及 在 外 围 网 络 和 内 部 网 络 之 间 部 署 I SA Server, 其 中 在 后 端 
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配置 男 一 个 防火 墙 ,用 于 保护 内 部 网 络 。 在 这 个 方案 中 ,ISA Server 作为 背靠背 外 围 网 络 配 
置 中 的 后 防线 ,后 端 网 络 模板 适用 于 这 个 方案 。 此 模板 采用 ISA Server 部 署 在 外 围 网 络 和 
内 部 网 络 之 间 , 另 一 个 防火 墙 配置 在 后 端 ( 保 护 内 部 网 络 ) 的 网 络 拓扑 。 


5. 单一 网 络 适配器 


如 图 5-6 所 示 ,可 以 在 具有 单一 网 络 适 配器 的 计算 机 上 安装 ISA Server。 通 常 , 当 另 一 
防火 墙 位 于 网 络 的 边缘 时 进行 此 安装 ,以 便 将 公司 资源 连接 到 Internet。 在 此 单一 适配器 
方案 中 ,ISA Server 通常 作为 缓存 服务 器 ,对 Internet 中 的 内 容 进行 缓存 , 供 公司 网 络 中 的 
客户 端 使 用 。 此 模板 采用 在 外 围 或 公司 网 络 内 部 配置 一 个 单一 网 络 适 配器 的 方法 。 在 这 种 
配置 中 ,ISA Server 用 作 Web 代理 和 缓存 服务 器 。 


外 部 网 络 


(Internet) 


后 端 防火 墙 


内 部 网 名 内 部 网络 
图 5-5 后 端 防火 墙 图 5-6 单一 网 络 适配器 


5.1.4 ISA Server 与 VPN 的 集成 


很 多 企业 利用 Internet 将 位 于 各 地 的 局 域 网 连接 起 来 ,但 是 必须 确保 网 络 之 间 所 传送 
数据 是 安全 的 。 而 虚拟 专用 网 (Virtual Private Network,VPN) 就 是 提供 此 功能 的 技术 , 它 
让 局 域 网 之 间 可 以 通过 Internet 来 建立 一 个 安全 的 通道 。 


5.1.5 ISA Server 缓存 的 种 类 


在 网 页 缓存 服务 器 中 又 分 为 “ 正 向 网 页 缓存 服务 器 * 和 “ 反 向 网 页 缓存 服务 器 ”,ISA 
Server 2006 都 可 以 做 到 。 

作为 正 向 网 页 缓存 服务 器 ,ISA Server 2006 保存 集中 缓存 内 经 常 受 到 请 求 的 Internet 
内 容 , 专 用 网 络 内 的 任何 Web 浏览 器 都 可 以 访问 这 些 内 容 , 这 样 可 以 改善 客户 端 浏览 器 的 
性 能 ,缩短 响应 时 间 ,并 且 减 少 Internet 连接 的 带宽 消耗 。 

作为 反 向 网 页 缓存 服务 器 ,ISA Server 2006 用 缓存 中 的 Web 内 容 来 满足 传人 的 客户 
端 请 求 。 只 有 缓存 中 的 内 容 不 能 满足 请 求 时 , 它 才 会 把 请 求 转发 给 Web 服务 器 。 


5.1.6 ”ISA Server 与 其 他 软件 防火 墙 的 比较 


相对 于 其 他 类 型 软件 防火 墙 解决 方案 ,ISA Server 的 主要 优势 包括 了 它 的 高 级 应 用 层 
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检测 和 保护 功能 ,易于 使 用 ,并 提供 快速 .安全 的 Internet 访问 的 能 力 , 分 布 式 防火 墙 集中 管 
理 能 力 ,以 及 易于 与 目前 的 防火 墙 和 VPN 结构 集成 的 功能 。 具体 优势 体现 在 以 下 几 个 
方面 。 


1. 高 级 保护 


ISA Server 旨 在 通过 提供 有 状态 数据 包 过 滤 和 链 路 过 滤 来 保护 企业 免 遭 新 型 的 攻击 。 
状态 数据 包 过 滤 确 定 允 许 哪 些 数据 包 受 保护 的 网 络 链 路 和 应 用 程序 层 代理 服务 。 

状态 过 滤 动 态 打开 所 需要 的 端口 ,并 在 通信 结束 时 关闭 这 些 端口 。 链 路 过 滤 为 
Microsoft Windows Media 技术 、Telnet、RealAudio、IRC 以 及 许多 其 他 Internet 协议 和 服 
务 的 多 平台 访问 提供 了 应 用 层 透明 的 链 路 网 关 。ISA Server 的 链 路 层 安 全 性 与 动态 数据 包 
过 滤 配 合 工作 ,从 而 增强 了 安全 性 和 易 用 性 。 

除了 状态 数据 包 和 链 路 过 滤 以 外 ,ISA Server 还 使 用 应 用 程序 .命令 和 数据 感知 过 滤 
器 控制 应 用 程序 特定 通信 。 通 过 对 VPN HTTP 文件 传输 协议 (FTP) 、 简 单 邮 件 传 输 协 
议 (SMTP) 、 邮 局 协议 版 本 3 (POP3) ,域名 系统 (DNS) 、H. 323 会 议 、 流 媒体 和 远程 过 程 
调用 (RPC) 通 信和 进行 智能 过 滤 ,ISA Server 可 以 根据 通信 的 内 容 来 接受 ,拒绝 、 重 定向 和 
修改 通信 。 

2. 易于 使 用 


ISA Server 十 分 灵活 ,并 易于 管理 员 使 用 。 它 包含 了 多 重 网 络 体系 结构 功能 ,集成 的 
VPN, 以 及 通过 强健 的 虚拟 策略 编辑 器 ,节省 时 间 的 网 络 模板 ,自动 化 的 防火 墙 策略 向 导 ， 
以 及 增强 的 故障 解决 工具 ,实现 对 防火 墙 的 直观 管理 。 

ISA Server 还 可 以 通过 自动 安装 防火 墙 和 Web 缓存 服务 来 简化 防火 墙 安装 。 此 外 ， 
ISA Server 标准 版 支持 输出 本 地 防火 墙 策略 ,并 且 ISA Server 企业 版 还 支持 将 本 地 防火 墙 
策略 和 配置 信息 导出 到 (XML) 文 件 , 对 每 个 阵列 的 防火 墙 成 员 、 防 火 墙 用 户 组 以 及 更 多 内 
容 进 行 实时 的 防火 墙 会 话 监控 。 


3. 快速 ,安全 的 访问 


ISA Server 通过 将 VPN 功能 完全 集成 到 防火 墙 体系 结构 ,加 速 Web 缓存 和 优化 防火 
墙 过 滤 引 擎 ,提供 了 快速 ,安全 的 Internet 访问 。 用 于 站 点 到 站 点 VPN 连接 的 内 置 IPSec 
隧道 模式 支持 ,使 连接 ISA Server 与 分 支 机 构 VPN 网 关 变 得 十 分 容易 。IPSec 隧道 模式 与 
第 三 方 VPN 网 关 的 连接 ,包括 了 深入 的 VPN 客户 端 检查 和 防火 墙 策略 支持 ,有 助 于 企业 
建立 更 安全 的 虚拟 专用 网 络 和 防火 墙 基础 架构 。 对 最 新 的 第 三 方 过 滤器 和 综合 软件 开发 工 
具 包 (SDK) 的 支持 进一步 扩展 了 ISA Server 的 功能 。 


4. 集中 日 志和 报告 


ISA Server 标准 版 可 以 记录 所 有 通过 防火 墙 的 活动 ,而 企业 版 则 允许 集中 记录 和 报告 
所 有 企业 成 员 的 活动 。 集 中 化 的 日 志和 报告 极 大 地 简化 了 搜寻 基于 每 个 用 户 、 组 、 服 务 器 、 
网 络 信息 的 工作 。ISA Server 包括 一 个 综合 报告 生成 器 , 它 记 录 了 通过 任意 ISA Server 而 


产生 的 关于 Internet 活动 的 主要 信息 。 
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5. 与 现 有 防火 墙 和 VPN 构架 轻松 集成 


很 多 公司 想 要 利用 ISA Server 应 用 层 检测 能 力 能 提供 的 那 种 增强 的 安全 级 别 , 但 是 他 
们 已 经 有 了 一 个 防火 墙 和 VPN 构架 ,同时 不 想 或 者 不 需要 重新 构建 一 个 新 的 构架 。ISA 
Server 支持 这 些 企业 将 其 强大 功能 与 现 有 的 防火 墙 和 VPN 构架 轻松 地 结合 。 

一 个 或 多 个 ISA Server 计算 机 可 以 放置 在 状态 包 检 测 防火 墙 后 面 工作 ,以 最 少 的 管理 
费 增 强 整个 企业 的 安全 性 。ISA Server 计算 机 也 可 以 放置 在 特定 用 户 、 部 门 和 服务 区 域 前 
面 工 作 , 从 而 提供 增强 的 状态 过 滤 和 对 这 个 网 段 进行 状态 应 用 层 检 测 。 


5.2 利用 VMware Workstation 建立 测试 环境 


5.2.1 VMware Workstation 概述 


VMware Workstation 允许 操作 系统 和 应 用 程序 在 一 台 虚 拟 机 内 部 和 运行。 虚拟 机 是 独 
立 运 行 主 机 操作 系统 的 离散 环境 。 在 VMware Workstation 中 ,可 以 在 一 个 窗口 中 加 载 一 
台 虚 拟 机 , 它 可 以 运行 自己 的 操作 系统 和 应 用 程序 。 可 以 在 运行 于 桌面 上 的 多 台 虚 拟 机 之 
间 切 换 , 通 过 一 个 网 络 共享 虚拟 机 (例如 一 个 公司 局 域 网 ) , 挂 起 和 恢复 虚拟 机 以 及 退出 虚拟 
机 ,这 一 切 不 会 影响 用 户 的 主机 操作 和 任何 操作 系统 或 者 它 正在 运行 的 应 用 程序 。 

VMware Workstation 是 一 款 功能 强大 的 桌面 虚拟 计算 机 软件 ,提供 用 户 可 在 单一 的 
桌面 上 同时 运行 不 同 的 操作 系统 ,和 进行 开发 .测试 .部 署 新 的 应 用 程序 的 最 佳 解决 方案 。 
VMware Workstation 可 在 一 部 实体 机 器 上 模拟 完整 的 网 络 环境 ,以 及 可 便于 携带 的 虚拟 
机 器 ,其 更 好 的 灵活 性 与 先进 的 技术 胜 过 了 市 面 上 其 他 的 虚拟 计算 机 软件 。 对 于 企业 的 IT 
开发 人 员 和 系统 管理 员 而 言 ,VMware 在 虚拟 网 路 、 实 时 快照 \, 拖 忠 共 享 文件 夹 . 支 持 PXE 
等 方面 的 特点 使 它 成 为 必 不 可 少 的 工具 。 


5.2.2 搭建 ISA Server 2006 测试 环境 的 步骤 


1. 安装 VMware Workstation 


从 VMware 官方 网 站 www. vmware. com( 或 提供 共享 软件 下 载 的 网 站 ,如 天 空 软件 站 
www. skycn. com) 下 载 VMware Workstation, 同 时 注册 以 便 取 得 试用 序列 号 ,然后 将 其 安装 到 
Windows Server 2003( 建 议 采 用 Windows Server 2003 R2 EnterPrise Edition) 的 计算 机 上 。 

(1) VMware Workstation 内 建 了 10 个 虚拟 网 络 。 

Q@ VMnet0(default bridged) : 是 真实 网 卡 连接 的 网 络 , 也 就 是 外 部 网 络 ,本 书后 面 的 
实验 中 ISA Server 的 外 网 卡 就 是 连接 在 这 个 网 络 上 。 

@@ VMnet1l1(Host-only): 连接 着 内 部 网 络 , 本 书 之 后 实验 中 ISA Server 的 内 网 卡 就 是 
连接 在 这 个 网 络 上 。 


@VMnet2~~VMnet7 与 VMnet9: 可 以 利用 它们 建立 DMZ 网 络 。 
@ VMnet8(NAT ): 它 提 供 NAT (Network Address Translation ,网 络 地 址 转换 ) 功 能 。 
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(2) VMware Workstation 安装 完成 后 ,这 台 计 算 机 内 除了 原 有 的 网 卡 (名 称 为 “本 地 连 
接 ”) 外 ,还 会 另外 自动 新 建 两 张 虚拟 网 卡 , 如 图 5-7 所 示 。 


文件 个 编辑 四 查看 从 收 总 和 ) 工具 (D 高 儿 册 姑且 
Oe OO | wr x | 


ESDRSE 


过 LAN 或 高 速 Internet 


国 他 娃 一 个 新 的 连接 
僵 设置 家 庭 或 小 型 办 公 
网 络 


更 改 Windows 防火 墙 
m 设置 


图 5-7 添加 了 两 张 虚拟 网 卡 


图 中 的 三 张 网 卡 的 说 明 如 下 。 

Oz 本 地 连接 : 它 是 安装 在 这 台 计 算 机 上 的 物理 网 卡 ,如 果 想 让 这 台 计 算 机 可 以 正常 上 
网 ,可 以 根据 网 络 环 境 设置 正确 的 TCP/IP 配置 。 

@ VMware Network Adapter VMnetl: 它 是 连接 到 VMnetl 的 虚拟 网 卡 ,如 果 想 让 这 
台 计算 机 可 以 跟 内 部 网 络 的 其 他 虚拟 计算 机 沟通 ,应 将 IP 地 址 改 为 与 内 部 计算 机 在 同一 网 
段 ( 即 相同 的 网 络 号 ) ,如 图 5-8 所 示 。 

@@ VMware Network Adapter VMnet8: 它 是 连接 到 VMnet8 的 虚拟 网 卡 。 


2. 建立 含 Windows Server 2003 的 虚拟 机 


利用 VMware Workstation 建立 一 个 虚拟 机 ,并 在 此 机 器 内 安装 Windows Server 2003 
操作 系统 ,但 在 后 面 的 实验 中 不 在 这 套 系统 内 安装 ISA Server 2006 ,也 不 会 使 用 此 系统 ,而 
是 将 这 套 系统 的 虚拟 硬盘 作为 母 盘 ,之 后 如 果 需 要 更 多 Windows Server 2003 虚拟 机 时 ,只 
要 克隆 (Clone) 这 套 系统 即 可 ,不 需要 从 头 开始 安装 ,如 此 可 以 节约 大 量 的 时 间 。 方 法 如 下 

(1) 选择 【开始 MV【 所 有 程序 /VMware/VMware Workstation 命令 ,启动 VMware 
Workstation 。 

(2) 在 【起 始 页 3 上 , 单 击 【 新 建 虚拟 机 图标, 如 图 5-9 所 示 。 

(3) 在 【新 建 虚拟 机 向 导 】 对 话 框 中 单 击 【 下 一 步 ] 按 钮 。 

(4) 选择 [典型 ] 单 选 按 钮 , 单 击 【 下 一 步 3 按 钮 。 然 后 在 【版 本 】 下 拉 列 表 中 选择 
Windows Server 2003 Enterprise Edition ,如 图 5-10 所 示 , 单 击 【 下 一 步 3 按 钮 。 

(5) 为 此 虚拟 机 命名 。 在 此 ,将 这 套 要 当 作 母系 统 (Master) 的 虚拟 机 取 名 为 2003Master， 
它 的 相关 文件 默认 是 放 在 【我 的 文档 7 中 的 My Virtual Machines 文件 夹 中 ,可 以 改变 存放 的 位 
置 ,如 改 为 E:\VMware 文件 夹 。 完 成 后 单 击 【 下 一 步 ] 按 钮 ,如 图 5-11 所 示 。 


Internet 协议 (TCP/IP) 属性 


192 -168 . 2 .201 


图 5-10 选择 操作 系统 类 型 


新 建 虚拟 机 向 导 


虚拟 机 名 称 
你 想 要 让 该 虚拟 机 使 用 什么 名 称 ? 


[Ewwaaasw 


图 5-11 为 虚拟 机 命名 
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(6) 在 【网 络 连接 3 选项 区 中 选择 【使 用 桥接 网 络 了 单 选 按钮 ,该 选项 表示 此 虚拟 机 的 网 
卡 是 与 物理 网 卡 在 同一 个 网 络 上 ,也 就 是 可 以 连接 到 外 部 网 络 的 网 卡 , 如 图 5-12 所 示 。 

(7) 选择 虚拟 机 可 用 的 硬盘 空间 ,默认 是 8GB, 可 以 改变 分 配 磁盘 容量 的 大 小 ,例如 选 
择 6GB; 选 中 [立即 分 配 所 有 磁盘 空间 ] 复 选 框 . 单 击 【 完 成 按钮 ,如 图 5-13 所 示 。 


新 建 虚 执 机 向 导 寺 | FE 划 
网 络 类 型 
指定 而 参 容 量 
你 想 要 添加 时 种 类 型 的 网 络 ? 你 起 要 将 该 几 盘 设置 为 多 大 ? 


个 不 使 用 网 络 连 接 了 ) 


| 
图 5-12 选择 [网 络 连接 ] 类 型 图 5-13 为 虚拟 机 分 配 硬盘 空间 
(8) VMware 配置 完成 后 ,默认 给 虚拟 机 的 内 存 是 384MB。 如 果 读 者 的 计算 机 系统 内 


存 足 够 大 ,建议 设置 为 512MB。 可 以 通过 双击 图 5-14 右边 【设备 列表 框 中 的 【内 存 3 选 项 ， 
打开 对 话 框 后 改变 内 存 的 值 。 


| 文件 编辑 (E) ”查看 (V) ”虚拟 机 (M) ”分 组 (D 窗口 (W) 帮助 (Ht 
ja ml|| 因 辐 加 | 名 名 加 


电源 已 关闭 

Windows Server 2003 Enterprise Edition 

了 : \Vhware\Win2003Master\Windows Server 2003 Enterprise Edition vmx 
Yorkstation 6.x 虚拟 机 


设备 
及 ”启动 该 虚 拆 机 四 内存 “34MB | 


沪 编 辑 虚 拟 机 设置 司 硬 盘 (5C510:0) ”6.0 GB ( 预 分 配 ) 


前 训 陛 该 虚拟 机 他 cp-Rom (pe 1:0) 自动 探测 
Ee 自动 探测 


图 5-14 为 虚拟 机 分 配 内 存 空间 


3. 启动 虚拟 机 并 安装 Windows Server 2003 操作 系统 


(1) 将 Windows Server 2003 CD 放 到 光驱 内 (或 者 将 用 Windows Server 2003 安装 光 
盘 制 作 的 ISO 文件 加 载 到 虚拟 光驱 内 ) 。 
(2) 单 击 如 图 5-15 所 示 的 【启动 该 虚拟 机 选项 ,之 后 开始 安装 Windows Server 2003， 
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如 图 5-16 所 示 。 


| 200Master -wwarewoksam II2I2I120®<[9 | 
| 文件 虽 ” 篇 辑 (E) ”查看 V) ”虚拟 机 (W) ”分 组 (D 窗口 (Ww) 帮助 (H) 


ja we 本 加 | 器 加 加 


a 200%master 


2003Master 到 
状态 : 电源 已 关闭 
客户 机 操作 系统 : Windows Server 2003 Enterprise Edition 
配置 文件 : 了 : \Vware\Win200Msster\Windows Server 2003 Enterprise Edition wmx 
版 本 : Workstation 6.x 看 拟 机 
傅 令 设备 
也” 启动 该 虚 摊 国内 存 S12MB 
编 局 硬盘 (5C51 0:0) 6.0 GB ( 预 分 配 ) 
共 克隆 该 怨 co-Rom (pe 1:0) 使 用 文件 EX150 文 件 IWindows2003E 
咽 以 太 网 桥接 
Use 控制 器 存在 
4 夫 音频 适配器 自动 探测 
置 2 示 自动 探测 
国 处 理 器 1 | 
注释 
在 这 里 为 虚拟 机 输入 注释 


图 5-15 启动 虚拟 机 


各 2003Master - YMware Workst: 

二) 坦 看 (0 虑 机 (分 组 (0 窗口 
J wl | 他 碟 | 四 加 加 | 回回 |@ 
Eu D200mster 


从 你 没有 安装 VMware Tooals。 [eol J 


图 5-16 Windows Server 2003 安装 界面 


4. 安装 VMware Tools 


如 果 没 有 安装 VMware Tools, 就 会 有 鼠标 操作 不 顺 的 现象 。 在 Windows Server 2003 
系统 启动 后 ,通过 以 下 步骤 来 安装 VMware Tools: 在 VMware Workstation 控制 台 画 面 中 
选择 【虚拟 机 【安装 VMware Tools] 命 令 , 然 后 按照 画面 提示 继续 安装 ,如 图 5-17 所 示 。 
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已 连接 用 户 写 
发 送 CHAlk+DelE) 


捕获 输入 (G) ChG 


图 5-17 安装 VMware 工具 
提示 : 可 以 在 VMware Workstation 控制 台中 ,利用 选择 VM/【 按 Ctrl 十 Alt 十 Del] 命 
令 的 方法 来 模拟 按 Ctrl 十 Alt 十 Del 三 个 键 的 动作 ,或 是 直接 按 Ctrl 十 Alt 十 Insert 组 合 键 。 


此 虚拟 机 与 操作 系统 的 相关 文件 都 保存 在 E:\VMware 文件 夹 内 ,其 中 扩展 名 
为 . vmdk 的 文件 约 为 6GB, 如 图 5-18 所 示 。 


EECTOETOEZTETTEET 
Osa :OF| DM xnx | 


地 址 (0) | 司 EWwmwareWwin2003Master 


文件 和 文件 卖 任务 全 


量 要 和 沁 让 区 国 Windows Server 2003 Enterprise Edition.nvram 
多 移动 这 个 文 伯 国 Windows server 2003 Enterprise Edtion.vmdk 1KB 
问 复制 这 个 文件 国 windows server 2003 Enterprise Edition.vmsd 0kB 


3 将 这 个 文 件 发 布 到 加 windows server 2003 Enterprise Edition,vmx 2KB 
Wi 


国 windows Server 2003 Enterprise Edition, vmxf 1KB 
合 以 电子 邮件 形式 发 送 Elwindows Server 2003 Enterprise Edition-flat.vn 6,294,304 KB 
此 文件 
XX 删除 这 个 文件 
其 它 位 置 会 


局 ware 一 
诺 型 , WWDK 安 笠 臣 下 日 期 : 2009-4-11 9:58 大 小 : 4.00 GB 


图 5-18 虚拟 机 相关 文件 


5. 建立 ISA Server 2006 计算 机 的 虚拟 机 
为 了 节省 建立 ISA Server 2006 虚拟 机 与 安装 操作 系统 的 时 间 , 同 时 也 为 了 节省 硬盘 空 
间 ,在 此 并 不 需要 按照 前 面 的 步骤 来 建立 虚拟 机 和 安装 操作 系统 ,而 是 直接 利用 VMware 
的 “克隆 ”功能 克隆 前 面 的 虚拟 机 2003Master。 操 作 步 又 如 下 : 
< 
@ 
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(1) 将 虚拟 机 2003Master 关机 。 
(2) 单 击 VMware Workstation 控制 台中 2003Master 选项 卡 下 的 【克隆 该 虚拟 机 】 选 


项 ,如 图 5-19 所 示 。 


| 文件 (BD) 编 加 (EE) ”查看 (V) 虚拟 机 (M) ”分 姐 (D ”窗口 (Ww) 帮助) 
ja leallDl|D 了 OE 


2003Master 

状态 : 

客户 机 操作 系统 : Windows Server 2003 Enterprise Edition 

配置 文件 : 了 : \WWlware\2003MastervWindows Server 2003 Enterprise Edition wx 
Workstation 6.x 虚拟 机 

快照: 2003Waster 的 克隆 快照 


命令 设备 
国内 存 Sl2MB 


及 局 动 该 虚拟 机 

妨 编 贺 虚 拟 机 设置 局 硬盘 (5C510:0) 6.068 

稳 克隆 该 虚拟 机 鸳 co-Rom (ipe 1:0) 使 用 文件 EMVyMwarelvMwareT，…， 
接 


图 5-19 VMware Workstation 控制 台 


(3) 在 弹出 的 [克隆 虚拟 机 向 导 】 对 话 框 中 直接 单 击 【 下 一 步 按 钮 。 

(4) 在 【克隆 自选 项 区 中 选择 【虚拟 机 的 当前 状态 - 单 选 按钮 后 单 击 【 下 一 步 3 按 钮 ;在 【 克 
隆 方式 选项 区 中 选择 [创建 一 个 链接 克隆 了 单 选 按钮 并 单 击 【[ 下 一 步 ] 按 钮 ,如 图 5-20 所 示 。 

(5) 为 克隆 的 虚拟 机 取 一 个 名 称 , 例 如 ISA Server 2006 ,如 图 5-21 所 示 。 


克隆 虚拟 机 向 导 | 
克隆 虚拟 机 内 导 四 


克 隘 类 型 
你 想 要 如 休克 隆 该 虚拟 机 ? 
新 虚拟 机 名 称 
你 起 要 让 该 虚拟 机 使 用 什么 名 称 ? 


三 感 执 机 名 称 WD 
[SA Server 2008 
「 位 置 中 
下 :wevisA Server 2006 浏览 四 ) 


一 | 


图 5-21 克隆 的 虚拟 机 名 称 


匿 注意 : 将 当做 母 盘 的 2003Master 从 VMware Workstation 的 控制 台 画 面 中 删除 
不 显示 ,以 免 不 小 心 启动 它 并 破坏 其 内 的 操作 系统 。 不 显示 的 方法 是 : 选择 2003Master 
选项 卡 中 的 【关闭 〗 选 项 ,这 种 方法 不 会 删除 此 虚拟 机 ,只 是 不 显示 而 已 ,以 后 可 以 选择 控 
制 台 菜单 中 的 【文件 了 打开】 命令 的 方法 重新 在 控制 台 画 面 中 显示 此 虚拟 机 。 


个 
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6. 为 ISA Server 2006 计算 机 新 建 一 张 网 卡 


ISA Server 2006 虚拟 机 默认 只 有 一 张 连接 外 部 网 络 的 虚拟 网 卡 ,还 需要 为 此 虚拟 机 新 
建 一 张 连接 内 部 网 络 的 虚拟 机 网 卡 , 即 连接 在 VMnetl(Hostonly) 虚 拟 网 络 上 的 网 卡 。 方 
法 如 下 : 

(1) 在 控制 台 画 面 选择 ISA Server 2006 选项 卡 中 的 【编辑 虚拟 机 设置 3 选项 ,弹出 【 虚 
拟 机 设置 3 对 话 框 ,如 图 5-22 所 示 。 


图 5-22 【虚拟 机 设置 ] 对 话 框 


(2) 单 击 [ 添 加] 按钮 ,在 弹出 的 [添加 硬件 向 导 ] 对 话 框 中 从 列表 中 选择 “以 太 网 适 配 
器 ”选项 ,如 图 5-23 所 示 。 

(3) 单 击 [ 下 一 步 ] 按 钮 ,在 【网络 连接 3 选项 区 中 选择 Host-only, 也 就 是 VMnetl 虚拟 
网 络 ,然后 单 击 【完成 3 按钮 ,如 图 5-24 所 示 。 


添加 硬件 向 导 x 添加 硬件 向 导 


图 5-23 ”选择 “以 太 网 适配器 ”选项 图 5-24 选择 网 络 连接 类 型 
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(4) 完成 后 的 画面 如 图 5-25 所 示 。 


1SA Server 2006 - YMware Workstation 


ja 而 全 | 向 闻 砍 | 困 加 回 | 器 加 加 
国 ISA Server 2006 
ISA Server 2006 


状态 : 电源 已 关闭 

客户 机 操作 系统 : Windows Server 2003 Enterprise Edition 

配置 文件 - E: \WMware\ISA Server 2006\ISA Server 2006. mx 

版 本 : Workstation 6.x 庶 拟 机 

克隆 自 : E: \Vlware\Win2003Master\Windows Server 2003 Enterprise Edition wmx 


傅 令 
及 ”局 动 该 虚拟 机 
恕 编辑 虚拟 机 设置 局 硬盘 (5C510:0) 6.0GB 
藤 克隆 该 虚拟 机 使 用 文件 EMwareWwMwar 
桥接 
Host-only 
存在 
自动 探测 


图 5-25 添加 了 “以 太 网 2” 网 卡 


5.3 ”|SA 网络 配置 和 网 络 规则 


ISA Server 程序 安装 好 后 ,就 可 正式 对 服务 器 端 各 方面 进行 配置 了 。 首 先 要 配置 的 是 
网 络 。ISA Server 2006 支持 多 网 络 (多 个 网 络 可 以 组 成 “网 络 集 ”) ,所 以 对 ISA 网 络 的 配置 
实际 上 就 是 对 网 络 集中 各 个 具体 网 络 的 配置 。 


5.3.1 网 络 和 网 络 集 配 置 


从 ISA Server 的 角度 看 ,网 络 是 一 个 规则 的 最 小 元 素 , 它 可 以 包含 一 个 或 多 个 IP 地 址 
范围 。 网 络 包含 一 台 或 多 台 计 算 机 ,并 对 应 于 物理 网 络 。 可 以 将 定义 的 规则 应 用 于 一 个 或 
多 个 网 络 , 或 者 应 用 于 除 指定 网 络 中 的 地 址 以 外 的 所 有 地 址 。 


1. ISA 网 络 类 型 


ISA Server 2006 内 建 了 以 下 5 种 网 络 , 如 图 5-26 所 示 。 下 面 分 别 说 明 。 

(1) 本 地 主机 。 本 地 主机 就 是 指 ISA Server 这 台 计 算 机 ,不 能 修改 或 删除 本 地 主机 网 
络 。 从 严格 意义 上 说 ,不 能 称 之 为 网 络 , 因 为 它 只 有 一 台 计 算 机 。 出 入 ISA Server 的 所 有 
通信 都 被 认为 是 通过 本 地 主机 网 络 传递 的 。 

与 任何 网 络 一 样 ,必须 在 本 地 主机 网 络 与 其 他 网 络 之 间 指 定 一 种 关系 。 默 认 的 “本 地 主 
机 访问 ?网 络 规则 指定 了 本 地 主机 网 络 与 其 他 网 络 之 间 的 路 由 关系 。 在 定义 了 防火 墙 策略 
和 网 络 规则 后 ,只 允许 从 本 地 主机 网 络 访问 通常 驻 留 在 其 他 网 络 中 的 基本 服务 。 由 于 其 中 
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内 置 动态 网 络 对 象 ， 它 代表 通过 YPN 连接 到 ISA 服务 器 
网 192.168.2.0 -1 代表 内 部 网 络 的 网 络 
IP 地 址 在 ISA 代表 Internet 的 内 置 网 络 对 象 。 
吉本 地 主机 投 有 I? 地 址 与 代表 ISA 服务 器 计算 机 的 内 置 网 络 对 象 。 
心 被 隔 高 的 VPN 此 网 络 当前 没有 . 内 置 动态 网 络 对 象 ， 它 代表 通过 当前 被 隔离 的 VPN 连接 


| 


图 5-26 ”ISA 内 建 的 5 种 网 络 


的 许多 服务 对 于 ISA 服务 器 的 基本 功能 至 关 重 要 ,因此 在 安装 ISA 服务 器 时 创建 的 一 组 默 
认 系 统 策略 规则 允许 访问 这 些 服务 。 

(2) 内 部 网 络 。 一 般 来 说 ,内 部 网 络 就 是 指 内 部 的 局 域 网 。 安 装 后 ,此 网 络 将 包含 安装 
过 程 中 指定 的 所 有 计算 机 (IP 地 址 ) 。 不 能 删除 内 部 网 络 。 

由 ISA 服务 器 使 用 的 内 部 网 络 代表 主要 的 默认 受 保护 网 络 。 可 以 指定 多 个 其 他 内 部 
网 络 。 在 安装 时 至 少 要 配置 一 个 默认 内 部 网 络 。 默 认 情 况 下 ,系统 策略 规则 防止 从 其 他 所 
有 网 络 (而 不 是 本 地 主机 网 络 ) 访 问 内 部 网 络 上 的 资源 。 可 以 创建 访问 规则 和 发 布 规则 ,前 
者 允许 从 默认 内 部 网 络 到 其 他 网 络 进行 通信 ,后 者 允许 访问 位 于 内 部 网 络 上 的 服务 器 。 

通常 认为 内 部 网 络 包含 受信 任 的 网 络 , 为 此 ,默认 系统 策略 允许 ISA 服务 器 访问 内 部 
网 络 上 的 服务 。 

边界 网 络 就 是 DMZ(Demilitarized Zone, 中 文 名 称 为 “隔离 区 ”也 称 “ 非 军事 化 区 ” 。 
一 般 将 边界 网 络 归 为 内 部 网 络 。 

(3) 外 部 网 络 。 除 了 已 经 定义 的 网 络 ( 例 如 内 部 网 络 ( 包 括 边 界 网 络 )VPN 客户 端 等 ) 
之 外 ,其 他 所 有 的 网 络 都 属于 外 部 网 络 。 

此 网 络 包含 不 与 其 他 任何 网 络 关联 的 所 有 计算 机 (IP 地 址 ) ,也 不 能 修改 或 删除 外 部 网 
络 。 外 部 网 络 是 ISA Server 安装 后 配置 的 5 个 网 络 之 一 。 外 部 网 络 包 含 未 明确 包含 在 其 
他 任何 网 络 中 的 所 有 IP 地 址 。 安 装 时 ,外 部 网 络 包含 所 有 未 包含 在 内 部 网 络 中 的 地 址 、 本 
地 主机 网 络 的 IP 地 址 ,以 及 ISA Server 计算 机 上 除了 内 部 网 络 外 的 其 他 所 有 网 络 适 配器 
的 IP 地 址 。 

通常 将 外 部 网 络 视 为 不 受信 任 的 网 络 , 因 此 ,通常 将 其 他 网 络 ( 称 之 为 “ 源 网 络 ”) 与 默认 
外 部 网 络 的 网 络 关系 配置 为 网 络 地 址 转换 (NAT) ,从 而 允许 源 网 络 上 的 客户 端 访问 目标 默 


a 
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认 外 部 网 络 ,但 是 却 防止 默认 外 部 网 络 访问 源 网 络 。 

(4) VPN 客户 端 。VPN 客户 端 连接 到 ISA Server(VPN 服务 器 ) 后 ,它们 会 被 归纳 到 
这 个 被 称 为 VPN 客户 端的 网 络 , 此 网 络 包含 当前 连接 的 客户 端的 地 址 。 当 配置 虚拟 专用 
网 络 (VPN) 属 性 时 ,将 配置 可 能 地 址 范围 。 不 能 删除 VPN 客户 端 网 络 。 

要 通过 使 用 ISA Server 来 允许 远程 虚拟 专用 网 络 (VPN) 客 户 端 ,必须 启用 VPN 客户 
端 访问 。 当 启用 VPN 客户 端 访问 时 ,ISA Server 启用 适当 的 网 络 和 防火 墙 策略 规则 以 允 
许 初 始 访问 。 当 允许 远程 VPN 客户 端 连接 时 ,ISA Server 使 这 些 客户 端 成 为 VPN 客户 端 
网 络 的 成 员 。 默 认 系统 策略 规则 允许 这 些 客户 端 访问 ISA 服务 器 (本 地 主机 网 络 ) 。 

(5) 被 隔离 的 VPN 客户 端 。 如 果 在 ISA Server 上 启用 了 隔离 控制 的 功能 , 则 可 以 要 
求 VPN 客户 端 必须 符合 规定 ,例如 VPN 客户 端 必须 安装 防毒 软件 .必须 安装 最 新 的 补丁 
等 。 当 VPN 客户 端 连接 到 ISA Server 时 ,它们 会 先 被 暂时 归纳 到 隔离 的 VPN 客户 端 网 
络 , 等 到 它们 通过 检查 后 , 才 会 被 归纳 到 VPN 客户 端 网 络 , 如 果 客 户 端 无 法 通过 检查 ,就 会 
继续 被 隔离 在 隔离 的 VPN 客户 端 网 络 。 

要 允许 访问 某 项 资源 ,可 以 创建 访问 规则 ,以 被 隔离 的 VPN 客户 端 网 络 为 源 ,并 以 需 
要 访问 的 服务 器 为 目标 。 为 此 ,需要 为 每 台 服 务 器 创建 计算 机 规则 元 素 ,以 便 它 可 以 在 访问 
规则 中 使 用 。 或 者 可 以 创建 一 个 计算 机 集 ,其 中 包含 已 隔离 客户 端 需要 访问 的 所 有 计算 机 ; 
同时 创建 访问 规则 ,以 被 隔离 的 VPN 客户 端 网 络 为 源 , 并 以 计算 机 集 为 目标 。 另 外 一 种 方 
法 是 对 网 络 进 行 设计 ,使 需要 访问 的 所 有 服务 器 都 属于 一 个 子 网 ,然后 定义 一 个 在 访问 规则 
中 使 用 的 子 网 规则 元 素 。 


2. 创建 网 络 


除了 上 述 预 安装 的 网 络 外 ,用 户 还 可 以 自己 创建 所 需 的 新 网 络 。 可 以 选择 要 创建 的 网 
络 类 型 有 内 部 ( 含 边界 ) 、 外 部 和 VPN 站 点 到 站 点 这 几 种 。 创 建 的 新 网 络 将 自动 包含 在 “所 
有 受 保护 网 络 ?网 络 集中 。 选 择 上 述 某 一 种 网 络 类 型 后 ,可 以 指定 要 包含 在 该 网 络 中 的 IP 
地 址 。 要 注意 的 是 ,每 个 IP 地 址 只 能 包含 在 一 个 网 络 中 。 


3. 网 络 集 


创建 网 络 后 ,可 以 将 一 个 或 多 个 网 络 组 织 成 网 络 集 。 网 络 集 可 以 包含 一 个 或 多 个 网 络 ， 
或 者 可 以 明确 地 排除 一 个 或 多 个 网 络 。 规 则 可 以 应 用 于 网 络 或 网 络 集 。 

安装 ISA Server 时 ,默认 创建 两 个 网 络 集 ,如 图 5-27 所 示 。 不 能 修改 或 删除 以 下 这 两 
个 网 络 集 。 

(1) 所 有 网 络 。 此 网 络 集 包含 为 ISA Server 定义 的 所 有 网 络 , 创 建 的 新 网 络 将 自动 包 
含 在 此 网 络 集中 。 

(2) 所 有 受 保护 的 网 络 。 此 网 络 集 包 含 除 内 置 外 部 网 络 以 外 的 所 有 网 络 , 创 建 的 新 网 
络 将 自动 包含 在 此 网 络 集中 。 


5.3.2 应 用 网 络 模 板 


ISA Server 包含 与 常见 网 络 拓扑 对 应 的 五 种 网 络 模 板 ( 参 考 5. 1. 3 小 节 ) ,用户 在 安装 ISA 
Server 系统 时 ,ISA Server 会 自动 根据 用 户 当前 的 网 络 环境 和 配置 选择 一 种 默认 的 模板 。 
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internet SA2 
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VPN 客户 端 网 络 


此 预定 义 的 网 络 集 包 括 所 有 网 络 。 预 定义 的 网 络 集 不 能 修改 。 


图 5-27 默认 网 络 集 
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如 果 用 户 改 变 了 网 络 环境 和 配置 ,或 者 觉得 ISA Server 自动 选择 的 网 络 模板 不 符合 要 
求 ,用 户 也 可 以 根据 自己 的 网 络 环境 和 应 用 需求 选择 应 用 其 中 一 种 网 络 模板 ,为 网 络 之 间 的 


通信 配置 防火 墙 策略 ,如 图 5-28 所 示 。 
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5.3.3 网 络 规则 


网 络 规则 确定 了 在 两 个 网 络 实体 之 间 是 否 存在 着 关系 :以 及 属于 哪 种 类 型 的 网 络 关系 。 


加 
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在 ISA 的 网 络 集中 包括 了 几 种 网 络 类 型 ,它们 之 间 相互 关联 ,从 而 形成 一 个 网 络 集 。 
如 果 未 配置 网 络 之 间 的 关系 ,那么 ISA Server 将 丢弃 两 个 网 络 之 间 的 所 有 通信 。 使 用 ISA 
Server 来 配置 网 络 规 则 ,可 定义 并 描述 网 络 拓扑 。 


1. 网 络 关系 


网 络 规则 中 涉及 两 种 网 络 关系 , 那 就 是 路 由 和 网 络 地 址 转换 。 

(1) 路 由 。 当 指定 这 种 类 型 的 连接 时 ,来 自 源 网 络 的 客户 端 请 求 将 被 直接 转发 到 目标 
网 络 , 源 客户 端 地 址 包含 在 请 求 中 。 

路 由 网 络 关 系 是 双向 的 ,如 果 在 从 网 络 A 到 网 络 B 这 一 方向 上 定义 了 路 由 关系 ,那么 
在 从 网 络 B 到 网 络 A 这 一 方向 上 也 存在 着 路 由 关系 。 

(2) 网 络 地 址 转换 (NAT) 。 当 指定 这 种 类 型 的 连接 时 ,ISA Server 将 用 它 自 己 的 卫 地 
址 替换 源 网 络 中 的 客户 端的 IP 地 址 。 

NAT 网 络 关系 是 单 向 的 、 唯 一 的 ,如 果 在 从 网 络 A 到 网 络 B 这 一 方向 上 定义 了 NAT 
关系 ,那么 便 不 能 在 从 网 络 B 到 网 络 A 这 一 方向 上 定义 网 络 关系 。 


2. 默认 规则 
ISA Server 在 安装 时 会 创建 一 些 默 认 的 网 络 规则 ,如 图 5-29 所 示 。 


Microsoft Internet Security and Acceleration Server 2006 
文件 四 操作) 查看 WW 帮助 0 
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图 5-29 默认 网 络 规则 


(1) 本 地 主机 访问 。 此 规则 定义 了 在 本 地 主机 网 络 与 其 他 所 有 网 络 之 间 存 在 的 路 由 关 
系 。 这 样 , 便 在 ISA Server 计算 机 与 连接 到 该 ISA Server 计算 机 的 所 有 网 络 之 间 定 义 了 连 
接 性 。 

(2) VPN 客户 端 到 内 部 网 络 。 此 规则 定义 了 在 内 部 网 络 与 被 隔离 的 VPN 客户 端 以 及 
VPN 客户 端 网 络 之 间 存 在 的 路 由 关系 。 


《0D 
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(3) Internet 访问 。 此 规则 定义 了 在 内 部 网 络 与 外 部 网 络 之 间 存 在 的 NAT 关系 。 
3. 网 络 规则 的 处 理 顺 序 


网 络 规则 是 有 顺序 的 。 为 了 确定 两 个 地 址 A 和 B 之 间 的 地 址 关系 ,ISA Server 按照 优 
先 级 顺序 处 理 网 络 规则 ,查找 与 地 址 匹配 的 规则 。 地 址 关系 由 匹配 的 第 一 条 规则 指定 ,这 意 
味 着 可 以 在 两 个 网 络 之 间 定义 具有 路 由 关系 的 网 络 规则 ,然后 再 通过 创建 一 条 优先 级 更 高 
的 网 络 规则 来 蔡 代 特定 地 址 的 这 一 关系 。 


4. 创建 网 络 规则 


创建 网 络 规则 时 ,不 能 在 网 络 与 其 自身 之 间 指 定 网 络 规则 。 同 一 网 络 中 的 计算 机 之 间 
的 通信 被 指定 为 路 由 关系 ,不 支持 NAT 关系 。 


5.4 ”安装 ISA Server 2006 


5.4.1 安装 前 的 准备 


ISA Server 2006 企业 版 只 能 在 Windows Server 2003 SP1 和 R2 版 本 中 安装 ,不 能 在 
64 位 版 本 的 Windows Server 2003 操作 系统 上 安装 ISA Server 2006。 但 如 果 ISA Server 
2006 是 作为 域 成 员 安 装 的 , 则 ISA Server 企业 版 仅 可 以 安装 在 Windows Server 2003 或 
Windows Server 2000 域 中 。 


1. ISA Server 2006 企业 版 安装 前 的 考虑 


开始 安装 之 前 ,应 考虑 ISA Server 2006 Enterprise Edition 基础 结构 的 拓扑 ,同时 考虑 
以 下 事项 。 

。 是 否 要 在 工作 组 或 受信 任 的 域 环境 中 部 署 ISA Server。 

。 要 将 配置 存储 服务 器 安装 在 何 处 。 

。 是 否 要 将 所 有 配置 存储 服务 器 安装 在 同一 个 站 点 中 。 

。 是 否 要 远程 管理 企业 。 

。 安装 多 少 台 远程 管理 计算 机 。 

。 至 少 一 个 NTFS 格式 的 磁盘 分 区 ,用 于 ISA Server 缓存 磁盘 配额 配置 。 


2. ISA Server 2006 企业 版 服务 器 的 部 署 思 路 


安装 ISA Server 之 前 ,请 按照 以 下 步骤 部 署 计算 机 。 

(1) 安装 配置 存储 服务 器 。 只 有 配置 存储 服务 器 可 用 ,才能 安装 ISA Server 2006 组 
件 。 在 安装 配置 存储 服务 器 时 ,可 以 将 该 服务 器 加 入 到 现 有 企业 。 另 外 ,还 可 以 创建 新 的 企 
业 。 为 了 获得 最 有 效 的 部 署 ,建议 在 你 的 组 织 中 创建 单一 企业 。 使 用 单一 企业 ,可 以 从 一 个 
ISA 服务 器 管理 MMC 管理 单元 管理 组 织 中 的 所 有 阵列 。 

(2) 在 配置 存储 服务 器 中 创建 阵列 、 企 业 网 络 规则 和 企业 策略 。 当 按 下 一 步骤 所 述 开 


始 安装 阵列 成 员 时 ,可 以 将 其 加 入 到 已 存在 的 阵列 中 。 


CG 


Ca 


(3) 在 一 台 或 多 台 计 算 机 上 安装 ISA Server 服务 。 如 果 运 行 ISA Server 服务 的 计算 
机 是 新 阵列 的 第 一 个 成 员 , 则 安装 时 需要 在 内 部 网 络 中 指定 地 址 。 


3. 准备 好 VMware Workstation 虚拟 机 


按照 5.2 节 的 要 求 搭建 好 ISA Server 2006 的 测试 环境 。 
5.4.2 安装 1ISA Server 2006 


1. 更 改 ISA Server 虚拟 机 的 SID 


启动 用 来 安装 ISA Server 2006 的 虚拟 机 (之 前 克隆 的 ISA Server 2006 虚拟 机 ) 。 由 于 
这 人 台 虚 拟 机 是 从 2003Master 复制 出 来 的 ,所 有 虚拟 机 的 SID(Security Identifier, 安 全 标识 
符 ) 都 是 相同 的 ,因此 需 更 改 这 台 ISA Server 2006 虚拟 机 的 SID。 登 录 http://www. 
microsoft. com/zh/cn/ ,搜索 与 下 载 工具 程序 NewSID, 解 压缩 后 执行 NewSID. EXE ,然后 
在 图 5-30 中 单 击 Next 按钮 ,在 图 5-31 中 重新 为 此 计算 机 设置 新 的 计算 机 名 称 , 完 成 更 改 
后 系统 将 自动 重新 启动 。 


| choose a sm 
You can speciy the SID that you want NewSID to apply 


图 5-31 设置 新 的 计算 机 名 称 
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2. 更 改 网 络 名 称 与 设置 IP 地 址 


本 实验 将 以 图 5-32 为 例 来 说 明 如 何 将 ISA Server 2006 企业 版 安装 到 图 中 的 ISA 
Server 防火 墙 计算 机 上 。 


Web 代 理 客户 端 
IP; 192.168.2.101/24 
关 ; 不 指定 。 内 部 网 络 。 SA Server 防 火 墙 和 CSS 外 部 网 络 
DNS: (Windows Server 2003) 
(Winilows X8 专 业 版 ) 
IP: 192.168.0.1/24 


SecureNAT 客 户 端 
IP: 192.168.2.102/24 内 网 卡 外 网 卡 
默认 网 关 : 192.168.2.200 | IP: 192.168.2.200/24 < 192.168.0.101/24 
DNS: 202. 032 默认 网 卡 ， 不 指定 认 网 卡 : 192.168.0.1 
(Windows XP 专业 版 DNS: 不 指定 We 202.103.225.68 


pa je VMware 虚拟 机 内 网 卡 : Host-Onl 
、 Vare hp 和 it 一 
DNS: ” 多 加 下: 桥接 


不 
(Windows 村 业 版 ) 
图 5-32 ”安装 ISA Server 2006 的 测试 环境 


为 了 易于 辨别 ,本 实验 将 更 改 ISA Server 2006 这 台 虚 拟 机 的 网 卡 名 称 。 将 这 台 虚 拟 机 
连接 外 部 网 络 的 网 卡 (桥接 网 卡 ) 改 名 为 “外 网 卡 ”, 连 接 内 部 网 络 的 网 卡 (Host-only 网 卡 ) 
改名 为 “内 网 卡 ”。 如 图 5-33 所 示 是 ISA Server 虚拟 机 网 卡 更 名 前 的 画面 ,如 图 5-34 所 示 
是 网 卡 更 名 后 的 画面 。 
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图 5-33 更 改 前 的 网 卡 名 称 图 5-34 更 改 后 的 网 卡 名 称 


另外 ,参照 如 图 5-35 所 示 设 置 外 网 卡 的 IP 参数 ,让 这 台 ISA Server 2006 虚拟 机 可 以 
连接 到 Internet, 而 内 网 卡 的 IP 参数 可 参照 图 5-36 所 示 设 置 。 


@y 


Internet 协议 (TCP/IP) 尾 性 上 sterset 协议 (cP/IP) 屋 性 


5-35 外 网 卡 的 IP 地 址 设置 图 5-36 内 网 卡 的 IP 地 址 设置 


3. 安装 ISA Server 2006 


(1) 将 ISA Server 2006 企业 版 CD 放 到 光驱 内 ,以 便 自动 启动 安装 程序 ,或 者 执行 安装 
文件 中 的 ISAAutorun. exe 程序 。 

(2) 如 图 5-37 所 示 , 单 击 【安装 ISA Server 2006】 选 项 。 

(3) 在 弹出 的 对 话 框 中 单 击 【 下 一 步 3 按 钮 ,在 [许可 协议 ] 对 话 框 中 选择 【我 接受 许可 协 
议 选 项 , 单 击 [ 下 一 步 ] 按 钮 。 

(4) 在 【客户 信息 对话 框 中 输入 用 户 名 称 ,产品 序号 后 , 单 击 [ 下 一 步 ] 按 钮 。 

(5) 在 图 5-38 中 选择 【同时 安装 ISA Server 服务 和 配置 存储 服务 器 】 后 单 击 【 下 一 步 】 


006 180 


图 5-37 安装 ISA Server 2006 图 5-38 选择 【安装 方案 】 


(6) 在 图 5-39 中 直接 单 击 【下 一 步 ] 按 钮 。 
(7) 在 图 5-40 中 采用 默认 的 【创建 新 ISA 服务 器 企业 3 后 单 击 【 下 一 步 3 按 钮 。 


eee 


So 
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图 5-39 选择 安装 组 件 图 5-40 选择 企业 安装 选项 


(8) 在 图 5-41 中 直接 单 击 [ 下 一 步 ] 按 钮 。 建 议 在 此 对 话 框 中 最 好 只 建立 一 个 企业 , 否 
则 将 很 难 集中 管理 所 有 阵列 中 的 计算 机 。 


图 5-41 【新 建 企业 警告 ] 对 话 框 
(9) 在 图 5-42 中 单 击 [ 添 加] 按钮 ,指定 内 部 网 络 的 IP 地 址 范围 。 


5-42 【内 部 网 络 ] 对 话 框 
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(10) 在 弹出 的 [地址 ] 对 话 框 中 单 击 【 添 加 适配器 按钮 ,选择 内 部 网 络 的 IP 地 址 范 
围 ( 也 可 以 通过 【添加 范围 ] 按 钮 自行 输入 ) ,如 图 5-43 所 示 。 

(11) 在 弹出 的 [选择 网 络 适配器 】 对 话 框 中 选中 内 部 网 络 的 网 卡 ( 内 网 卡 ) 后 单 击 【 确 
定 ] 按 钮 ,将 此 网 卡 所 连接 的 网 络 设 置 为 内 部 网 络 (IP 地 址 192. 168. 2. 0 一 192. 168. 2. 255)， 
如 图 5-44 所 示 。 


Ne 加 | 
应 加 和 选择 与 正在 配置 的 网 络 关联 的 网 络 适配器 。 
网 络 适配器 : 


图 5-43 【地 址 3 对 话 框 图 5-44 【选择 网 络 适配器 3] 对话 框 


(12) 在 [地址 ] 对 话 框 中 单 击 【 确 定 ] 按 钮 ,在 【内 部 网 络 ] 对 话 框 中 单 击 【 下 一 步 3 按 钮 。 

(13) 在 【防火 墙 客户 端 连接 】 对 话 框 中 单 击 【下 一 步 ] 按 钮 。 在 此 对 话 框 中 选择 是 否 允 
许 旧版 的 防火 墙 客户 端 采用 非 加 密 的 方式 来 连接 ISA Server 防火 墙 ,默认 是 不 允许 的 。 

(14) 在 出 现 的 [服务 警告 ] 对 话 框 中 单 击 【 下 一 步 ] 按 钮 。 

(15) 在 出 现 的 [可 以 安装 程序 了 ] 对 话 框 中 单 击 【安装 】 按 钮 。 

(16) 在 出 现 的 [安装 向 导 完 成 ] 对 话 框 中 直接 单 击 【 完 成 ] 按 钮 。 


5.4.3 测试 ISA Server 防火 墙 是 否 安装 成 功 


选择 [开始 VE【 所 有 程序 〗/Microsoft ISA Server/【ISA 服务 器 管理 选项 ,内 建 的 默认 
规则 会 拒绝 所 有 的 流量 ,如 图 5-45 所 示 , 故 ISA Server 计算 机 自己 要 访问 外 部 资源 时 会 被 
拒绝 。 这 里 将 利用 ISA Server 2006 计算 机 来 测试 是 否 可 以 访问 外 部 网 页 ,至 于 访问 规则 的 
其 他 详细 说 明 将 在 后 面部 分 说 明 。 

图 中 企业 名 称 默 认为 “企业 ”, 而 阵列 名 默认 就 是 ISA Server 2006 的 计算 机 名 称 
ISA2006, 刚 才 所 说 的 默认 规则 就 是 定义 在 企业 规则 内 .这 个 规则 会 被 应 用 到 ISA2006 阵列 
内 ,而 且 其 应 用 顺序 是 在 阵列 防火 墙 之 后 。 由 于 测试 环境 中 只 有 单一 阵列 .单一 服务 器 , 因 
此 为 了 便于 学 习 起 见 , 以 后 将 只 建立 阵列 防火 墙 原 则 内 的 访问 规则 。 

纲 技 巧 : 通过 右 击 图 5-45 中 阵列 名 ISA2006 并 选择 【导出 命令 ,将 ISA Server 2006 
的 原始 设置 备份 起 来 ,以便 将 来 随时 可 通过 右 击 阵列 名 ISA2006 并 选择 【导入 命令 的 方法 
将 ISA Server 2006 的 设置 还 原 到 原始 设置 值 。 


第 5 章 ”ISA Server 2006 的 应 用 配置 


Microsoft Internet Secarity and Acceleration Server 2 
文件 四 操作 (4) 查看 W) 天助 名 
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各 06 配置 存 让 服务 器 - ISA2006 防火 培 策略 CsA2006) 


he ens | JE 8 
居 RD 在 阵列 防火 培 策略 之 前 应 用 的 全 业 策略 规则 A 


刁 发布 Exehange Yeb 客 
防火 培 策略 规则 | 户 哺 访问 
习 发 布 邮件 报 务 器 

司 发 布 SharePoint 站 点 
习 发 布 网 站 

习 发 布 雪 Web 服务 器 协议 
局 旬 嫂 访问 规则 曾 


在 阵列 防火 墙 策略 之 后 应 用 的 企业 策 覆 规 则 


四 拭 好 网 所 有 通读 


图 5-45 【ISA 服务 器 管理 了 窗口 


1. 被 I SA Server 防火 墙 阻挡 的 测试 


(1) 将 Internet Explorer 的 安全 等 级 降 为 中 安全 性 ,否则 默认 的 高 安全 性 会 阻挡 连接 
大 部 分 的 网 站 。 在 ISA Server 2006 计算 机 上 选择 [开始 】 人 控制 面板 】 人 添加 或 删除 程序 也 
【添加 /删除 Windows 组 件 了 命令 ,取消 选中 [Internet Explorer 增强 的 安全 配置 选项 ,然后 
按 向 导 提 示 并 单 击 【确定 了 按钮 即 可 。 

(2) 尝试 访问 外 部 网 站 ,此 时 连接 外 部 网 站 的 网 页 会 被 ISA Server 防火 墙 阻挡 ,如 图 5-46 
所 示 。 


潮 无 法 显示 此 页 


无 法 显示 此 页 
短 释 : 苦 试 访问 的 页 面 出 现 问题 ,无 法 显示 该 页 面 


警 试 下 列 : 


。 刷新 页 : 单 击 “ 剧 新 ” 近 钮 来 再 次 乒 索 此 页 。 超 时 可 能 是 由 于 


Internet 


造成 的 。 
: 请 检查 您 是 否 正确 键入 了 网 页 地 址 。 键 入 的 网 页 地 址 不 


正确 。 
。 从 链接 访问 : 如 果 有 一 个 到 小 正在 找 的 网 页 的 链接 ,请 答 坛 从 访 链 
接 沪 问 此 页 。 


技术 信息 (提供 给 支持 人 员 ) 


juree Locator (URL). (12202) 


图 5-46 访问 外 部 网 站 的 网 页 被 防火 墙 阻挡 


2. 创建 访问 规则 使 开放 ISA Server 2006 计算 机 可 以 上 网 


方法 如 下 : 
(1) 在 [ISA 服务 器 管理 ] 窗 口 左 侧 列表 框 中 单 击 【防火 墙 策 略 】 ,再 单 击 右边 【任务 〗 选 


Ey 


项 卡 的 【创建 访问 规则 选项。 

(2) 在 【欢迎 使 用 新 建 访问 规则 向 导 】 对 话 框 中 为 此 访问 规则 命名 (例如 “允许 本 机 主机 
访问 外 部 网 站 ”)。 在 【规则 操作 】 对 话 框 选择 [允许 有 单 选 按钮 ,允许 本 机 主机 访问 外 部 网 站 ， 
如 图 5-47 所 示 。 单 击 【 下 一 步 ] 按 钮 。 

(3) 选择 规则 要 应 用 到 的 协议 为 “所 选 的 协议 ”, 单 击 【添加 3 按钮 ,表示 只 开放 连接 网 站 
的 协议 ,如 图 5-48 所 示 。 


图 5-47 【规则 操作 ] 对 话 框 图 5-48 【协议 ] 对 话 框 


(4) 在 图 5-49 中 依次 选择 并 添加 HTTP、HTTPS, 单 击 【关闭 3 按钮 。 
(5) 单 击 【 下 一 步 ] 按 钮 ,如 图 5-50 所 示 。 


图 5-49 【添加 协议 了 对话 杠 图 5-50 添加 协议 后 的 [协议 ] 对 话 框 


(6) 在 [访问 规则 源 ] 对 话 框 中 选择 此 规则 的 应 用 来 源 ,在 此 ,只 想 让 ISA Server 2006 
计算 机 本 身 可 以 上 网 ,因此 单 击 【添加 ] 按 钮 ,在 【添加 网 络 实体 ] 对 话 框 中 选择 [本 地 主机 3】 六 
单 击 【添加 ] 按 钮 ,再 单 击 [ 访 问 规则 源 ] 对 话 框 的 [下 一 步 ] 按 钮 ,如 图 5-51 所 示 。 

(7) 将 此 规则 的 应 用 目的 地 设置 为 “外 部 ”, 也 就 是 允许 访问 外 部 所 有 的 网 站 ,如 图 5-52 
所 示 。 
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图 5-52 添加 网 络 到 [访问 规则 目标 】 
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(8) 在 【用 户 集 了 对 话 框 中 单 击 [ 下 一 步 ] 按 钮 ,以 便 将 此 原则 应 用 到 所 有 的 用 户 , 如 图 5-53 


所 示 。 


加 
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新 建 访问 规则 向 导 xl 


用 户 集 
el 或 者 ,您 可 以 限制 访问 特定 用 户 


此 规则 应 用 于 来 自 下 列 用 户 集 的 请 求 ; 


编辑 下 ). | 
MB 他) | 


《< 上- 步 @[ 下 - 步 加 了 滑 | 


图 5-53 【用 户 集 ] 对 话 框 


(9) 在 【完成 新 建 访问 规则 向 导 3 对 话 框 中 单 击 【完成 按钮 ; 在 [防火墙 策略 了 配置 窗口 
中 单 击 【 应 用 3 按钮 ,如 图 5-54 所 示 。 


如 帮助 中 


团 3| 轨 了 XD OW SI 
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图 5-54 应 用 新 建 的 访问 规则 


(10) 完成 设置 后 ,这 些 配置 会 保存 到 存储 服务 器 (CSS) 内 ,ISA Server 会 定期 (默认 为 
15 秒 ) 检 查 与 应 用 CSS 内 的 最 新 更 新 (在 此 实验 中 ISA Server 与 CSS 是 同一 台 计 算 机 ) ,并 
保持 与 CSS 同步 ,如 图 5-55 所 示 。 

(11) 打开 浏览 器 测试 ISA Server 2006 计算 机 是 否 能 上 网 。 


5.5 _ISA 防火 墙 策略 


仅 有 了 网 络 规则 (网 络 之 间 关 系 规则 ) 还 是 不 够 的 ,还 必须 为 各 种 应 用 配置 防火 墙 策略 ， 
只 有 这 样 才 能 确保 受 保护 的 网 络 的 安全 。ISA 防火 墙 策略 主要 包括 访问 规则 和 发 布 规则 ， 
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文件 到 )。 操作) 查看 WW 帮助 


正在 蓝 视 ISA2006 


习 监 视 

局 防火 墙 第 咯 CSh2006 

羔 拉 用 隐 洁 Ve | 配置 状态 
四 性 配置 


配置 状态 监视 阵列 中 每 个 阵列 成 员 上 的 配置 版 本 ， 并 梅 其 与 ISA 服务 器 管理 所 连接 的 
配置 存储 服务 器 上 的 版 本 进行 比较 。 


加 Iskzoos 已 同步 ”2009-T-27 23:03:07 。 服务 器 配置 与 配置 存储 服 . 


5.5.1 ISA 防火 墙 策略 工作 方式 


用 ISA Server 可 以 创建 包含 一 组 访问 规则 和 发 布 规则 的 防火 墙 策略 。 这 些 规则 与 网 
络 规则 一 起 ,共同 决定 了 客户 端 如 何 跨 网 络 来 访问 资源 。 


1. 传 出 请 求 


ISA Server 的 一 个 主要 功能 是 连接 源 网 络 与 目标 网 络 ,同时 阻止 恶意 访问 。 为 了 帮助 
建立 此 连接 ,用 户 可 使 用 ISA Server 来 创建 允许 源 网 络 中 的 客户 端 ,访问 目标 网 络 中 的 特 
定 计算 机 的 访问 策略 。 此 访问 策略 决定 了 客户 端 如 何 访问 其 他 网 络 。 

当 ISA Server 处 理 传 出 请 求 时 , 它 检查 网 络 规则 和 防火 墙 策略 规则 以 确定 是 否 允 许 访问 。 
可 以 配置 某 些 规则 应 用 于 特定 的 客户 端 。 在 这 种 情况 下 ,可 以 通过 IP 地 址 或 用 户 名 来 指定 客 
户 端 。ISA Server 根据 请 求 对 象 的 客户 端 类 型 以 及 ISA Server 的 配置 来 相应 的 处 理 请 求 。 

首先 ,ISA Server 检查 网 络 规则 ,以 确认 两 个 网 络 已 连接 。 如 果 网 络 规则 定义 了 源 网 络 
与 目标 网 络 之 间 的 连接 ,ISA Server 将 处 理 访问 策略 规则 。 

其 次 ,ISA Server 按 顺 序 检查 访问 规则 。 如 果 对 该 请 求 应 用 了 人 允许 规则 ,ISA Server 将 
允许 该 请 求 。 特 别 是 在 请 求 与 下 列 规则 条 件 相 匹配 时 ,ISA Server 将 应 用 下 列 规则 。 

。 协议 。 

从 ( 源 ) 地 址 和 端口 。 

。 计划 。 

到 (目标 ) 地 址 、 名 称 `URL。 

“用户 。 

。 内 容 组 。 

应 用 规则 之 后 ,ISA Server 不 再 请 求 与 其 他 任何 规则 相 匹 配 , 并 停止 规则 评估 。 随 后 ， 


网 络 安全 技术 案例 教程 


ISA Server 实际 上 可 能 拒绝 请 求 , 具 体 情 况 取 决 于 应 用 于 规则 的 其 他 协议 筛选 。 

最 后 ,ISA Server 再 次 检查 网 络 规则 ,以 确定 网 络 是 如 何 连接 的 。ISA Server 检查 
Web 链 规则 (请 求 对 象 是 Web 代理 客户 端 ) 或 防火 墙 链 配 置 (请 求 对 象 是 SecureNAT 或 防 
火 墙 客户 端 ) ,以 确定 将 如 何 处 理 请 求 。 

例如 ,假定 用 户 将 ISA Server 安装 到 具有 两 个 网 卡 的 计算 机 上 : 一 个 网 卡 连接 到 外 部 
网 络 ( 例 如 Internet) , 另 一 个 则 连接 到 内 部 网 络 。 公 司 的 许可 原则 是 允许 所 有 用 户 访问 所 
有 站 点 。 在 这 种 情况 下 ,用户 策略 应 包含 下 列 访问 策略 规则 。 

。 在 源 网 络 ( 内 部 网 络 ) 与 目标 网 络 ( 外 部 网 络 , 例 如 Internet) 之 间 建 立 连接 的 网 络 

规则 。 

。 允许 所 有 内 部 网 络 的 客户 端 在 任何 时 候 使 用 任何 协议 访问 Internet 任何 站 点 的 访 

问 规则 。 


2. 传 入 请 求 


ISA Server 可 以 使 服务 器 安全 地 接受 来 自 其 他 网 络 客户 端的 访问 。 使 用 ISA Server 
创建 一 条 发 布 策略 以 便 安 全 地 发 布 服务 器 。 发 布 策略 包含 Web 发 布 规则 、 服 务 器 发 布 规 
则 、 安 全 Web 发 布 规则 以 及 邮件 服务 器 发 布 规则 , 它 与 Web 链 规则 一 起 共同 确定 如 何 访问 
发 布 的 服务 器 。 

可 以 使 用 下 列 ISA Server 规则 之 一 来 发 布 服务 器 。 

。 Web 发 布 规则 : 发 布 Web 服务 器 内 容 。 

。 服务 器 发 布 规则 : 发 布 非 Web 服务 器 内 容 。 

。 安全 Web 发 布 服务 器 : 发 布 安全 套 接 字 层 (SSL) 内 容 。 

当 ISA Server 处 理 来 自 客户 端的 HTTP 或 HTTPS 请 求 时 , 它 检查 发 布 规则 和 Web 
链 规 则 ,以 确定 是 否 允许 该 请 求 ,以 及 将 由 哪 一 台 服 务 器 来 处 理 该 请 求 。 

对 于 非 HTTP 请 求 ,ISA Server 检查 网 络 规则 ,然后 检查 发 布 规 则 以 确定 是 否 允 许 该 
请 求 。 对 于 传人 的 Web 请 求 , 是 按 下 列 顺序 来 处 理 规则 的 : 

。 Web 发 布 规则 。 

。 Web 链 规则 。 

例如 ,有 这 样 一 个 方案 : 将 ISA Server 安装 到 具有 两 个 网 络 适配器 的 计算 机 上 ,其 中 一 
个 适配器 连接 到 Internet, 而 另 一 个 则 连接 到 内 部 网 络 , 将 应 用 下 列 规则 。 

。 如 果 Web 发 布 规则 明确 地 拒绝 请 求 ,该 请 求 将 被 拒绝 。 

。 如 果 Web 链 规则 规定 请 求 应 由 路 由 到 特定 的 上 游 服 务 器 或 备用 的 主持 站 点 ,将 由 

指定 的 服务 器 处 理 该 请 求 。 

。 如 果 Web 链 规则 规定 请 求 应 由 路 由 到 指定 的 服务 器 ,将 由 内 部 Web 服务 器 返回 对 象 。 


5.5.2 ”防火墙 访问 规则 
访问 规则 决定 源 网 络 上 的 客户 端 如 何 访问 目标 网 络 上 的 资源 。 


可 以 将 访问 规则 配置 为 适用 于 所 有 人 P 通信 、 适 用 于 特定 的 协议 定义 集 ,或 适用 于 除 所 选 
协议 之 外 的 所 有 他 通信 。 如 图 5-56 所 示 , 在 中 间 【 防 火 墙 策 略 〗 选 项 卡 里 列 出 来 的 是 用 户 创建 


第 5 章 ”ISA Server 2006 的 应 用 配置 


防火 培 策 略 CLSA2006) 


防火 墙 策略 任务 


加 发 布 Ezehange We 客 
户 哺 访问 


| ejl 阵列 ”发布 内 部 网 站 ”加 允许 [TP 。 殉 内 部 网 .由 mw helloise co 约 所 有 用 户 | 


回 ” 阵列 发布 对 外 提 .， 园 允许 卢 Is .… 全 外 部 。 目 !192 188.2.8 局 发 邮件 服务 器 
国 3 阵列 “允许 内 部 到 .， 国 允许 最 oq 通信 过 内 部 例外 部 网 所 有 用 户 =] 3 站 点 
CE 许 国 me 己 
日 国 4 阵列 区 洗 内 部 到 ..， 国 允许 a 二 内 部 。 之 本 地 主机 篇 所 有 用 己 局 首要 ma 服务 器 议 


[i 
国 5 阵列 “区 许 内 部 到 .加寿 网 之 内 部 国外 部 锡 所 有 用 户 
日 国 s 降 列 。 姑 省 内 祁 到 .， 况 允许 购 ?a3 之 内 印 。 全 外 本 驳 所 有 用 户 ” 避 
4 司 | 于 J 0 
EE I 


问 创 津 访问 规则 


策略 编辑 任务 
要 办 加 所 过 规则 到 
| 


图 5-56 ”防火墙 访问 规则 


1. 通信 规则 


ISA Server 包含 预 配置 的 已 知 协议 定义 的 列表 ,其 中 包括 最 广泛 使 用 的 Internet 协 
议 。 用 户 还 可 以 添加 或 修改 其 他 协议 。 当 客户 端 使 用 特定 协议 请 求 对 象 时 ,ISA Server 将 
检查 访问 规则 。 仅 当 某 个 访问 规则 明确 允许 客户 端 使 用 特定 的 协议 进行 通信 ,并 且 允 许 访 
问 请 求 的 对 象 时 才 处 理 请 求 。 


2. 访问 规则 和 应 用 程序 筛选 器 


一 些 应 用 程序 筛选 器 将 创建 和 安装 新 协议 定义 。 禁 用 应 用 程序 筛选 器 之 后 ,同时 将 
禁用 其 所 有 协议 定义 ,也 就 是 说 将 阻止 使 用 该 协议 定义 的 通信 。 例 如 ,如 果 禁 用 流 媒体 
筛选 器 , 则 使 用 Windows Media 和 RealNetworks 协议 定义 的 所 有 通信 都 将 被 阻止 。 其 他 
应 用 程序 筛选 器 用 于 处 理 现 有 协议 定义 ,这 些 协议 定义 既 可 以 是 用 户 定义 的 ,也 可 以 是 
通过 ISA Server 配置 的 。 禁 用 这 些 应 用 程序 筛选 器 之 后 ,不 会 禁用 它们 筛选 的 协议 定义 。 
例如 ,即使 禁用 简单 邮件 传输 协议 (SMTP) 筛 选 器 ,可 能 仍然 允许 传递 未 筛选 的 SMTP 协 
议定 义 。 

当 访 问 规则 允许 所 有 IP 通信 时 ,ISA Server 将 任何 匹配 该 规则 的 通信 传递 到 适合 的 应 
用 程序 筛选 器 。 如 果 通 信 不 符合 应 用 程序 筛选 器 的 标准 ,ISA Server 将 拒绝 通信 ,并 且 将 关 

当 由 应 用 程序 筛选 器 定义 协议 或 将 访问 规则 适用 于 只 有 一 个 首要 连接 的 协议 时 (例如 ， 
超 文本 传输 协议 [HTTP)) ,访问 规则 将 适用 于 防火 墙 客户 端 和 SecureNAT 客户 端 。 

如 果 协 议 拥有 辅助 连接 ,并 且 它 不 是 由 应 用 程序 筛选 器 定义 的 , 则 访问 规则 只 适用 于 首 
要 连接 。 也 就 是 说 ,如 果 应 用 程序 使 用 拥有 辅助 连接 的 协议 , 则 此 应 用 程序 将 只 在 防火 墙 客 


户 端 上 运行 。 
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对 于 SecureNAT 客户 端 ,如 果 将 访问 规则 配置 为 应 用 于 所 有 IP 通信 , 则 该 规则 将 只 应 
用 于 所 有 定义 的 协议 。 


3. 每 条 规则 筛选 


应 用 程序 筛选 将 基于 每 条 规则 进行 应 用 ,这 意味 着 可 以 选择 最 适合 于 特定 的 安全 需求 
的 防火 墙 策略 。 例 如 ,假设 允许 所 有 内 部 用 户 使 用 所 有 协议 访问 Internet, 在 这 种 情况 下 ， 
可 以 选择 启用 最 大 筛选 。 然 而 ,假设 还 要 允许 从 内 部 网 络 到 特定 的 受信 任 网 络 进行 较 低 限 
制 的 远程 过 程 调用 (RPC) 访 问 。 在 这 种 情况 下 .可 能 要 考虑 不 应 用 RPC 筛选 器 严格 的 符合 
标准 (采用 该 方式 将 允许 网 络 之 间 进 行 DCOM 通信 )。 

每 条 规则 筛选 可 用 于 下 列 应 用 程序 筛选 器 中 的 访问 规则 。 

。 HTTP 筛选 器 。 

。 RPC 筛选 器 。 


4. 默认 规则 


在 安装 ISA Server 时 将 创建 一 条 默认 规则 ,用 于 拒绝 出 入 所 有 网 络 的 全 部 访问 。 不 能 
修改 或 删除 此 默认 规则 。 


苞 注 意 ; 由 于 ISA Server 首先 处 理 系统 策略 规则 ,因此 允许 本 地 主机 访问 外 部 网 络 
的 系统 策略 规则 ,将 替代 特别 配置 用 于 拒绝 这 种 访问 的 所 有 访问 策略 规则 。 


5.5.3 |SA 防火 墙 发 布 规则 


在 ISA Server 中 ,访问 规则 和 发 布 规则 是 非常 重要 的 应 用 规则 。 访 问 规则 确保 了 受 保 
护 的 网 络 资源 不 被 非法 访问 和 使 用 ;而 发 布 规 则 就 确保 了 各 种 应 用 服务 器 时 刻 处 于 严格 的 
保护 状态 ,通过 规则 来 过 滤 非 法 的 访问 与 使 用 。 


1. ISA 防火 墙 Web 发 布 规则 


ISA Server 使 用 Web 发 布 规则 来 缓解 与 发 布 Web 内 容 有 关 的 问题 ,同时 又 不 危及 网 
络 的 安全 性 。Web 发 布 规则 决定 了 ISA Server 将 如 何 拦截 对 Web 服务 器 上 的 超 文 本 传输 
协议 CHTTP) 对 象 的 传人 请 求 , 以 及 ISA Server 将 如 何 代表 Web 服务 器 进行 响应 。 当 请 求 
被 转发 到 位 于 ISA Server 计算 机 后 面 的 Web 服务 器 时 ,如 果 可 能 ,将 从 ISA Server 缓存 中 
提供 所 请 求 的 对 象 。 

Web 发 布 规则 本 质 上 是 将 传人 请 求 与 相应 的 Web 服务 器 匹配 。Web 发 布 规则 还 可 以 
配置 高 级 筛选 功能 ,从 而 既 发 布 基于 Web 的 信息 ,又 防止 其 受到 恶意 的 访问 。 也 要 注意 ,新 
规则 仅 适 用 于 新 连接 。 

配置 Web 发 布 规则 时 ,除了 可 以 访问 已 发 布 的 Web 服务 器 的 用 户 或 计算 机 ,还 应 指定 
下 列 设置 。 

。 Web 服务 器 的 名 称 (或 IP 地 址 ): 可 以 限定 规则 适用 于 服务 器 上 的 所 有 网 站 ,还 有 

特定 的 网 站 。 
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路 径 映 射 : 转发 请 求 之 前 ,ISA Server 可 以 修改 请 求 中 指定 的 外 部 路 径 ,并 将 其 映 
射 为 相应 的 内 部 路 径 。 

源 : 可 以 访问 已 发 布 的 Web 服务 器 的 网 络 对 象 。 请 注意 指定 的 网 络 对 象 还 必须 包 
含 在 为 此 Web 发 布 规则 指定 的 Web 侦 听 器 中 。 

Web 侦 听 器 : 这 是 ISA Server 计算 机 上 侦 听 来 自 客 户 端的 请 求 的 IP 地 址 。 

桥接 : 使 用 桥接 可 以 配置 HTTP 请 求 如 何 转发 到 已 发 布 的 服务 器 。 

链接 转换 : 使 用 链接 转换 ,可 以 配置 ISA Server 如 何 扫描 网 页 中 的 链接 ,并 使 用 外 
部 名 称 和 路 径 来 对 其 进行 更 新 。 

可 以 通过 配置 HTTP 筛选 来 进一步 筛选 向 Web 服务 器 发 出 的 请 求 。 


靶 注 意 : 建议 不 要 在 ISA Server 发 布 的 Web 服务 器 上 启用 目录 浏览 。 此 外 ,Web 
服务 器 不 能 要 求 摘要 式 身份 验证 或 基本 身份 验证 ,否则 ,Web 服务 器 的 内 部 名 称 或 IP 地 
址 可 能 会 在 Internet 上 暴露 。 


(1) 操作 。Web 发 布 规 则 指定 将 由 哪 一 台 服 务 器 (如 果 有 ) 返 回 所 请 求 的 对 象 。 请 求 可 
能 被 丢弃 ,也 可 能 被 重 定向 到 另 一 个 站 点 ,并 且 通 常 重 定向 到 公司 网 络 中 的 Web 服务 器 。 

当 配 置 将 请 求 重 定向 到 主持 站 点 的 规则 时 ,ISA Server 从 主机 上 的 路 径 ( 在 请 求 中指 
定 ) 中 检索 对 象 。 例 如 ,假定 指定 ISA Server 将 对 example. microsoft. com/development 的 
请 求 转发 到 名 为 Dev 的 主机 。 那 么 , 当 客户 端 请 求 example. microsoft. com/ development 
中 的 对 象 时 ,ISA Server 将 从 Dev 上 的 development 文件 夹 中 检索 对 象 。 

Web 发 布 规则 通过 阅读 主机 头 来 确定 所 请 求 的 目标 。 

(2) 路 径 映 射 。 在 将 请 求 转 发 到 发 布 的 Web 服务 器 之 前 ,ISA Server 会 检查 请 求 中 所 
指定 的 (外 部 ?路径 。 如 果 配 置 路 径 映 射 ,ISA Server 将 用 相应 的 路 径 名 来 替换 请 求 中 所 指 
定 的 路 径 。 应 注意 指定 的 每 个 路 径 必 须 是 确定 而 且 唯 一 的 。 

指定 路 径 映 射 时 应 遵循 下 列 准则 。 

。 指定 请 求 将 映射 到 的 内 部 路 径 时 ,使 用 格式 : /mypath/ * 。 

。 不 能 在 路 径 中 使 用 通配符 。 例 如 ,不 要 指定 mypath * /或 /mypath * 。 

。 配置 路 径 映射 时 ,应 避免 指定 文件 名 。 和 否则 ,可 能 将 仅 处 理 路 径 完全 匹配 的 请 求 。 

(3) 桥接 。 创 建 Web 发 布 规则 时 ,可 以 进一步 保护 HTTP 通信 的 安全 性 。 即 便 最 初 
的 通信 使 用 的 是 HTTP, 在 ISA Server 收 到 请 求 后 ,也 可 以 使 用 SSL 重 定向 通信 。 如 果 请 
求 被 作为 SSL 请 求 重 定向 , 则 会 加 密 数 据 包 。 这 种 重 定向 被 称 为 桥接 。 

可 以 设置 HTTP 或 SSL 请 求 .并 将 被 作为 FTP 请求 传递 到 Web 服务 器 。 如 果 外 部 客 
户 端 使 用 HTTP 或 SSL 请 求 对 象 .那么 ISA Server 可 以 使 用 FTP 将 请 求 重 定向 到 内 部 
Web 服务 器 。 如 果 以 这 种 方式 配置 桥接 ,可 以 指定 在 桥接 FTP 请 求 时 将 使 用 哪个 端口 。 

上 游 Web 服务 器 可 能 要 求 客户 端 证 书 , 在 这 种 情况 下 ,应 配置 ISA Server 使 用 特定 的 
客户 端 证 书 进 行 身 份 验证 。 

如 果 配 置 Web 发 布 规则 要 求 安全 通道 , 则 对 指定 目标 的 所 有 客户 端 请 求 都 必须 使 用 为 
SSL 连接 指定 的 端口 。 

(4) 发 布 具有 相同 域名 的 网 站 。 客 户 端 通过 ISA Server 发 布 完全 限定 的 域名 (FQDN) 
来 识别 发 布 的 网 站 ,这 意味 着 网 站 的 FQDN 就 是 在 Web 发 布 规则 中 配置 的 FQDN。 通 过 
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使 用 同一 个 FQDN 来 发 布 多 个 Web 服务 器 ,客户 端 假定 发 布 的 两 个 站 点 实际 是 相同 的 。 
也 就 是 说 ,Web 客户 端 可 以 将 原 定 发 往 一 个 Web 服务 器 的 信息 发 送 到 另 一 个 Web 服务 器 。 

(5) 规则 顺序 。Web 发 布 规则 是 与 所 有 防火 墙 策略 规则 一 起 处 理 的 。 针 对 每 个 传人 的 
Web 请 求 按 顺 序 对 它们 进行 处 理 。 如 果 规 则 与 请 求 匹配 , 则 将 相应 的 路 由 并 缓存 请 求 ; 如 
果 没 有 与 该 请 求 匹配 的 规则 , 则 ISA Server 将 处 理 默认 规则 并 丢弃 请 求 。 


2. ISA 防火 墙 的 安全 Web 发 布 规则 


使 用 ISA Server, 可 以 创建 安全 Web 发 布 规则 ,以 发 布 用 于 宿主 HTTPS 内 容 的 网 站 。 
安全 Web 发 布 规则 确定 ISA Server 如 何 侦 听 内 部 Web 服务 器 上 的 HTTPS 对 象 的 传人 请 
求 , 以 及 ISA Server 如 何 代 表 Web 服务 器 进行 响应 。 请 求 将 转发 给 位 于 ISA Server 计算 
机 后 面 的 内 部 Web 服务 器 。 注 意 ,新 规则 也 仅 适 用 于 新 连接 。 

(1) 桥接 。 使 用 桥接 ,可 以 配置 通信 传递 到 Web 服务 器 的 方式 。 例 如 ,假设 客户 端 使 
用 安全 套 接 字 层 (SSL) 与 ISA Server 计算 机 进行 通信 ,并 且 Web 发 布 规 则 将 请 求 映 射 到 内 
部 Web 服务 器 ,初始 通信 将 使 用 SSL。 但 是 ,默认 情况 下 ,所 有 后 续 的 通信 和 都 使 用 不 安全 的 
协议 ,如 HTTP。 

当 创建 安全 Web 发 布 规则 时 ,可 以 配置 SSL 请 求 如 何 被 重 定 向 为 HTTP 请 求 或 SSL 
请 求 。 如 果 请 求 被 重 定向 为 SSL 请 求 ,那么 ISA Server 将 重新 加 密 数 据 包 , 然 后 再 将 其 传 
递 到 Web 服务 器 ,这 样 便 建立 了 与 SSL Web 服务 器 进行 通信 的 新 的 安全 通道 。 这 种 重 定 
向 也 称 为 SSL 桥接 。 

(2) 隧道 。 当 配置 安全 Web 发 布 规则 以 使 用 隧道 模式 时 ,ISA Server 将 未 修改 的 、 经 
过 加 密 的 通信 转发 到 已 发 布 的 Web 服务 器 。 也 就 是 说 ,ISA Server 不 对 通信 执行 任何 其 他 
筛选 。 

使 用 隧道 模式 (与 桥接 模式 相对 ) 的 安全 Web 发 布 规则 与 Web 发 布 规则 相 比 ,更 类 似 
于 服务 器 发 布 规则 。 许 多 Web 发 布 功 能 (包括 链接 转换 和 路 径 映 射 ) 不 适用 于 这 些 规则 ,此 
规则 不 能 应 用 于 特定 用 户 ( 只 应 用 于 网 络 对 象 ) 。 

(3) 侦 听 器 。 当 配置 安全 Web 发 布 规则 时 ,定义 的 是 如 何 访问 已 发 布 的 Web 服务 器 
上 的 HTTPS 内 容 。 应 该 为 安全 Web 发 布 规则 指定 适当 的 侦 听 器 ,将 其 配置 为 在 某 个 
HTTPS 端口 上 进行 侦 听 。 


3. 服务 器 发 布 规则 


ISA Server 使 用 服务 器 发 布 来 处 理 内 部 服务 器 的 传人 请 求 ,如 文件 传输 协议 (FTP) 服 
务 器 、 结 构 化 查询 语言 (SQL) 服 务 器 等 ,请 求 被 转发 到 下 游 位 于 ISA Server 计算 机 后 面 的 
内 部 服务 器 。 

(1) 服务 器 发 布 概述 。 服 务 器 发 布 实际 上 人 允许 内 部 网 络 上 的 任何 计算 机 发 布 到 
Internet。 由 于 所 有 传人 请 求 和 传 出 响应 都 要 通过 ISA Server, 因 此 这 样 并 不 会 危及 安全 
性 。 当 由 ISA Server 计算 机 发 布 服务 器 时 ,发 布 的 IP 地 址 实际 上 是 ISA Server 计算 机 的 
IP 地 址 。 请 求 对 象 的 用 户 认为 它们 是 在 与 ISA Server( 其 名 称 或 IP 地 址 在 用 户 请 求 对 象 
时 被 指定 ) 进 行 通信 ,实际 上 它们 是 请 求 发 布 服务 器 中 的 信息 。 当 从 访问 发 布 服务 器 的 客户 
端 所 在 的 网 络 , 到 发 布 的 服务 器 所 在 的 网 络 这 个 方向 上 存在 网 络 地 址 转换 (NAT) 关 系 时 也 
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是 如 此 。 在 配置 路 由 的 网 络 关系 时 ,客户 端 使 用 发 布 服务 器 的 实际 IP 地 址 来 访问 它 。 

服务 器 发 布 规则 决定 服务 器 发 布 的 执行 方式 ,本 质 上 是 筛选 通过 ISA Server 计算 机 
的 所 有 传人 和 传 出 请 求 。 服 务 器 发 布 规则 将 传人 请 求 映 射 到 ISA Server 计算 机 后 面 的 相 
应 服务 器 。 这 些 规则 将 按照 指定 ,动态 授予 从 Internet 用 户 到 特定 发 布 服务 器 的 访问 
权限 。 

发 布 的 服务 器 是 Secure NAT 客户 端 。 因 此 ,在 ISA Server 计算 机 上 创建 服务 器 发 布 
规则 之 后 ,不 需要 发 布 服务 器 的 特殊 配置 。 应 注意 ,ISA Server 必须 被 配置 为 发 布 的 服务 器 
上 的 默认 网 关 。 


苞 注 意 : 不 支持 发 布 IP 等 级 和 Internet 控制 消息 协议 (ICMP) 的 首要 协议 ,一 个 例 
外 情况 是 点 对 点 隧道 协议 (PPTP)。 该 协议 是 TCP 连接 和 一 般 路 由 封装 (GRE) 数 据 包 
的 组 合 , 并 且 受 支持 。 同 样 ,新 规则 仅 适用 于 新 连接 。 服 务 器 发 布 规则 适用 于 一 个 协议 。 


(2) 每 条 规则 筛选 。 应 用 程序 筛选 将 基于 每 条 规则 进行 应 用 ,这 意味 着 用 户 可 以 选择 
最 适合 于 特定 安全 需求 的 防火 墙 策略 ,每 条 规则 筛选 可 用 于 Exchange RPC 筛选 器 的 服务 
器 发 布 规则 。 

(3) 改写 默认 端口 。 使 用 ISA Server 发 布 服务 器 时 ,默认 情况 下 防火 墙 将 侦 听 相应 协 
议 标 准 端口 上 的 传人 请 求 , 并 且 将 传人 连接 传递 到 发 布 服务 器 上 的 相同 标准 端口 。 例 如 ,在 
发 布 FTP 服务 器 时 ,ISA Server 将 侦 听 端口 21( 与 FTP 协议 相关 联 的 端口 ) 上 的 传人 请 求 ， 
并 将 传人 连接 传递 到 发 布 的 服务 器 上 的 端口 21。 通 过 在 发 布 规则 中 指定 其 他 端口 ,可 以 改 
写 标 准 端口 。 


匿 注意 : 在 发 布 网 络 之 间 存 在 路 由 网 络 关系 的 远程 过 程 调用 (RPC) 接 口 时 ,将 忽略 
端口 改写 。 发 布 规则 将 使 用 原始 IP 地 址 和 端口 。 


(4) 服务 器 发 布 的 工作 方式 。ISA Server 在 服务 器 发 布 过 程 中 执行 下 列 步骤 : 

@ Internet 的 客户 端 计 算 机 被 认为 是 发 布 服务 器 的 IP 地 址 请 求 对 象 。IP 地 址 实际 上 
与 ISA Server 计算 机 相关 联 ,这 是 属于 ISA Server 计算 机 的 外 部 网 络 适配器 的 IP 地 址 。 

@) ISA Server 计算 机 处 理 请 求 , 将 IP 地 址 映射 到 内 部 服务 器 的 内 部 IP 地 址 。 

@ 内 部 服务 器 将 对 象 返回 到 ISA Server 计算 机 ,通过 它 将 对 象 传递 到 发 出 请 求 的 客 
户 端 。 

(5) 服务 器 发 布 规则 的 用 法 。 在 很 多 情况 下 ,实际 上 可 以 使 用 访问 规则 (而 不 是 服务 器 
发 布 规则 ) 使 服务 器 可 用 于 客户 端 。 需 要 考虑 的 问题 如 下 : 
从 发 布 的 服务 器 网 络 到 客户 端 网 络 存在 NAT 网 络 关系 时 ,必须 使 用 服务 器 发 布 
规则 。 
一 个 服务 器 发 布 规则 只 能 发 布 一 个 标识 的 服务 器 。 要 发 布 多 个 服务 器 ,需要 多 个 
规则 。 

。 使 用 服务 器 发 布 规则 ,可 以 配置 端口 改写 。 

(6) 发 布 DNS 服务 器 。ISA Server 并 不 转换 DNS 服务 器 的 IP 地址 。 要 发 布 DNS 服 
务 器 ,请 在 本 地 主机 网 络 和 包含 DNS 服务 器 的 网 络 之 间 配 置 路 由 的 网 络 关 系 。 同 样 ,ISA 
Server 必须 知道 DNS 服务 器 的 IP 地 址 。 
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(7) 禁用 规则 。 禁 用 服务 器 发 布 规则 之 后 ,将 拒绝 任何 尝试 连接 到 服务 器 的 请 求 。 但 
是 应 注意 ,ISA Server 不 关闭 活动 连接 。 


5.6 1ISA Server 的 网 页 缓存 


5.6.1 网 页 缓存 概述 


ISA Server 通过 缓存 (Cache) 功 能 来 加 快 内 部 网 络 访问 外 部 网 页 与 FTP 服务 器 的 速 
度 , 也 可 以 加 快 外 部 用 户 访问 内 部 网 页 与 FTP 服务 器 的 速度 。 

ISA Server 将 用 户 较 常 访问 的 网 页 保存 到 缓存 区 中 ,不 但 让 用 户 更 快 取得 所 需 网 页 , 同 
时 也 可 节省 网 络 带宽 ,增加 网 络 效率 。ISA Server 同时 利用 内 存 (RAM) 与 硬盘 来 作为 缓存 
对 象 的 保存 地 点 (缓存 区 )。 当 ISA Server 收 到 用 户 HTTP 或 FTP 的 访问 请 求 时 ,只 要 所 
需 对 象 在 缓存 区 中 ,ISA Server 便 会 直接 从 缓存 区 读 取 该 对 象 给 用 户 ,因此 用 户 不 需要 通过 
Internet, 就 能 很 快 取得 所 需 的 网 页 对 象 或 FTP 文件 。 

如 果 用 户 所 请 求 的 对 象 为 新 对 象 ( 是 缓存 区 没有 的 对 象 ), ISA Server 便 会 通过 
Internet 去 取得 对 象 ,然后 先 将 对 象 保存 到 内 存 内 ,并 且 隔 一 段 时 间 后 再 将 内 存 内 的 对 象 转 
移 到 硬盘 内 。 由 于 内 存 的 访问 速度 比 硬盘 快 得 多 ,因此 只 要 某 对 象 被 访问 的 频率 较 高 ,ISA 
Server 便 会 尽量 让 它 继续 留 在 内 存 内 ,以 便 提 高 用 户 访问 该 对 象 的 速度 。 


5.6.2 搭建 网 页 缓存 测试 环境 


按 图 5-57 所 示 搭 建 网 页 缓存 实验 的 测试 环境 。 


pe a 

操守 分开 省。 内 部 网络 ls senerty 灵 增 和 css 外 部 网 络 
不 指 宫 、 (Windows Server 2003) 

(Windows 二 业 版 ) IP: 192.168.0.1/24 


SecureNAT 客 户 端 
IP: 192.168.2.102/24 内 网 卡 外 网 卡 
默认 网 关 : 192.168.2.200 | IP: 192.168.2.200/24 IP: 192.168.0.101/24 
DNS: 202.103.225.68 默认 网 卡 : 不 指定 。 默认 网 卡 :192.168.0.1 
(Windows XP 专业 版 ) DNS: 不 指定 DNS: 202.103.225.68 


< 


防火 墙 客户 端 
IP: 192.168.2.103/24 
默认 网 关 : 不 指 
DNS: 不 指定 
(Windows XP 专 业 版 ) 


图 5-57 网 页 缓存 测试 环境 
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5.6.3 缓存 设置 


1. 缓存 硬盘 的 大 小 设置 
(1) 在 [ISA 服务 器 管理 了 窗口 左 侧 列表 中 选择 [配置 ] 民 缓存 选项 ,然后 在 【缓存 驱动 


器 3 选项 卡 下 ,再 单 击 窗口 右边 的 【任务 了 选项 卡 中 的 【定义 缓存 驱动 器 (启动 缓存 )] 选 项 ,如 


图 5-58 所 示 。 


curity and Accel, 


文件 于 操作 查看 WW 居 助 了 0 
扫 沙 | 血 | 四 | 岛国 | 科 | 字 


国 Wierosoft Internet Security c 本 
四 Internet Security & 
Acceleration Server 2006 
Enterpree Editon 


配置 存 镶 服务 器 : ISA2006 


日 - 辆 阵列 
日 励 Iskzooe 
时 监视 加 单 击 此 处 以 了 解 客 户 体验 改善 计划 。 
饭 防火 墙 第 略 CSA2006) 
ES 和 


司 虚拟 考 用 网 络 VPN) 


缓存 驱动 器 任务 
车 定义 组 存 红 动 器 (所 用 缓存 ) 


图 5-58 ”选择 [定义 缓存 驱动 器 (启动 缓存 )】 选 项 
(2) 在 【ISA2006 属性 对 话 框 中 选择 驱动 器 ,指定 此 驱动 器 内 和 欲 被 配置 为 缓存 区 的 容 
量 (比如 100MB) , 单 击 5 设置] 按钮 ,再 单 击 【确定 了 按钮 ,如 图 5-59 所 示 。 


Ev Et 2 


绿 存 3E 动 器 | 


最 大 缓存 大 小 ED) 员 ) : pm 设置 @) 
复位 到 
B189 


了 HPS 驱动 器 上 总 的 磁盘 空间 QB); 
当前 总 的 缓存 大 小 0B): 


图 5-59 配置 缓存 区 的 容量 
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(3) 在 KISA 服务 器 管理 ] 窗 口 单 击 【应 用 3 按钮 ,如 图 5-60 所 示 。 


一 了 and Acceleration Server 2006 
文件 人 E 操作 查看 WD 帮助 0 
入 小 | 旬 | 加 | 岛国 身子 


国 出 crosoft Internet Security 


et Security & 
eurty 这 ,006 配置 在外 服务 器 : ISA2006 
En 


写 虚 执 专用 网络 VPID 
日 ' 沃 本 轩 


缓存 驱动 器 任务 
[Le 


围 禁用 组 存 


图 5-60 单 击 【 应 用 按钮 


(4) 在 [ISA 服务 器 警告 对 话 框 中 选择 【保存 更 改 , 并 重启 动 服务 了 后 单 击 【确定 按钮 ， 


如 图 5-61 所 示 。 

2. 高 速 缓存 (RAM) 的 大 小 设置 IN MEdeenn 

(1) 在 KISA 服务 器 管理 ] 窗 口中 选择 【 配 
置 MV【 缓 存 】 选 项 ,在 【缓存 规则 】 选 项 卡 下 ,再 单 
击 窗口 右边 的 【任务 3 选项 卡 中 的 【配置 缓存 设 
置 ] 选 项 ,如 图 5-62 所 示 。 

(2) 在 打开 的 【缓存 设置 ] 对 话 框 中 选择 【高 个 保存 更 改 ， 但 不 重启 动 服务 8) 
级 〗 选 项 卡 , 在 [用 来 缓存 的 可 用 内 存 百 分 比 ] 文 本 
框 中 设置 要 将 可 用 内 存 中 多 少 百分比 的 空间 拿 来 
作为 缓存 区 (比如 20%) ,如 图 5-63 所 示 。 

(3) 单 击 【 确 定 ] 按 钮 。 


Microsoft Firewall 


5.6.4 设置 缓存 规则 图 5-61 【ISA 服务 器 警告 ] 对 话 框 
通过 缓存 规则 来 决定 如 何 缓 存 Internet 的 对 象 ,例如 缓存 对 象 的 有 效 期 限 、 缓 存 哪 一 类 
的 对 象 . 如 何 读 取 缓 存 区 的 对 象 等 。 
1. 缓存 规则 的 设置 


本 实验 利用 内 置 的 Microsoft Update 缓存 规则 来 说 明 缓 存 规则 的 设置 过 程 。 在 【ISA 
服务 器 管理 ] 窗 口中 选择 【配置 VM【 缓 存 ] 选 项 , 单 击 【缓存 规则 】 选 项 卡 下 的 【Microsoft 
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文件 @) 的 查看 帮助 
a eiOCIO, 


Accel en ee 2006 配置 存 站 最 务 露 : ISA2006 


名 防火 墙 第 略 ISA2006) 

己 虚拟 专用 网 络 WP ee 
| © MA 有 ico ie 
本 1， rsoft Update 强 存 .上 icrosoft 由 所 有 对 象 组 存 规则 

最 .默认 规则 久 所 有 网 络 和 .所 有 对 象 


办 篇 辑 所 迁 规 则 
X 删除 所 渤 规则 
是 轩 禁用 所 选 规则 


相关 任务 

节 配置 组 存 座 置 
@ 导出 组 让 规则 
国 导入 级 存 规则 


图 5-62 选择 [配置 缓存 设置 ] 选 项 


组 存 设置 到 | 
常规。 高 级 | 


太 缓存 上 次 更 改 时 间 未 指定 的 对 象 C) 
厅 缓存 对 象 ， 即使 它们 没有 JITF 状态 码 200 QD) 


在 内 存 中 缓存 的 VRL 的 最 大 大 小 ( 字 节 ) 咖 : 


| 


如 果 过 期 对 象 的 网 站 不 能 被 访问 : 
个 不 返回 过 期 的 对 象 返回 一 个 异 误 页 ) @) 


人 只 有 在 过 期 为 下 列 情况 时 才 返 回 过 期 对 象 时): 
小 于 初始 生存 时 间 的 百分比 @) : 


记 
但 是 不 多 于 份 钟 ) @) : | 加 
局 


用 来 强 存 的 可 用 内 存 百 分 比 @); 


还 原 默 认 值 B) | 


图 5-63 缓存 设置 的 [高 级 】 选 项 卡 


Update 缓存 规则 选项 ,再 单 击 窗口 右边 【任务 了 选项 卡 中 的 【编辑 所 选 规则 了 选项 ,如 图 5-64 
所 示 。 
启用 或 停 用 规则 ,如 图 5-65 所 示 ,通过 【常规 了 选项 卡 来 选择 是 否 启用 此 规则 。 
。 应 用 此 规则 的 目标 ,如 图 5-66 所 示 ,通过 【到 了 选项 卡 来 设置 此 规则 所 应 用 的 目标 。 
也 就 是 只 有 当 用 户 要 连接 这 些 目标 时 , 才 会 按 这 个 规则 来 处 理 用 户 的 请 求 。 
。 HTTP 的 缓存 设置 ,如 图 5-67 所 示 ,通过 HTTP 选项 卡 来 启用 或 停 用 HTTP 缓存 、 
设置 TTL(Time to Live) 等 。 当 ISA Server 缓存 Internet 的 网 页 对 象 后 ,这 些 对 象 


在 缓存 区 有 一 定 的 有 效 期 限 ,这 个 有 效 期 限 被 称 为 TTL。 
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AT 配置 存储 最 务 器 : IS42006 
erterpree kan 


国 ! Microsort 


回 景 规则 a 


二 禁用 Microsoft Update 
缓存 规则 


苛 编辑 所 选 规则 
X 开除 所 选 规则 
转 禁用 所 选 规则 


相关 任务 


图 5-64 选择 [编辑 所 选 规则 命令 


了 zx 了 xd 
常规 “| 到 | 绥 存 存储 和 检索 | JaTP | FrP | 高 级 | 常规 到。 | 绥 存 存储 和 检索 | HTTP | FTF | 高 级 | 
此 规则 应 用 于 这 些 网 络 实体 请 求 的 内 容 : 


四 和 DR 
辐 且 crosoft Update 域名 集 添加 四 ).. 


总 编辑 
黄 除 EY 


评估 顺序 ; 第 1 个 规则 纵 2) 


添加 
编辑 加 ， 
册 除 了 V7) 


取消 Ei 取消 ”| 应 用 硬 
图 5-65 【常规 】 选 项 卡 图 5-66 【到 】 选 项 卡 


提示 : 网 页 对 象 的 有 效 期 限 是 如 何 决定 的 呢 ? 这 可 从 两 方面 考虑 。 

(1) 网 站 已 经 指定 了 该 网 页 对 象 的 有 效 期 限 , 则 该 对 象 的 有 效 期 限 默认 就 是 指定 的 期 限 。 
(2) 由 系统 管理 员 在 ISA Server 内 指定 , 则 设置 方法 如 图 5-67 所 示 。 

。 设置 对 象 的 TTL( 内 容 年 龄 的 百分比 )。 以 图 中 的 20% 为 例 , 若 对 象 从 建立 (或 修改 ) 完 成 
到 现在 已 经 过 了 10 小 时 , 则 该 对 象 在 缓存 区 的 有 效 期 限 为 : 10 小 时 *20% 二 2 小 时 。 
TTL 时 间 边 界 。 设 置 对 象 有 效 期 限 必须 介 于 【不 少 于 】 与 【不 多 于 3 处 所 指定 的 时 间 。 
对 指定 过 期 的 源 也 应 用 这 些 TTL 边界 。 表 示 即 使 网 站 已 经 指定 对 象 的 有 效 期 限 ， 
ISA Server 还 会 忽视 这 个 期 限 , 并 采用 设置 值 来 决定 对 象 的 有 效 期 限 。 


J 
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如 图 5-68 所 示 , 通 过 FTP 选项 卡 来 启用 或 停 用 FTP 缓存 ,设置 FTP 对 象 在 ISA 
Server 缓存 区 的 有 效 期 限 。 
icrosoft Update 转 存 规则 屋 性 了 引 x| 
vy 


i crosoft Wpdate 拨 存 规则 尾 性 


y 


图 5-67 【HTTP] 选 项 卡 5-68 【FTP] 选 项 卡 


2. 创建 缓存 规则 


系统 已 经 有 一 个 内 置 的 缓存 规则 ,名 称 为 “默认 规则 ”, 如 果 它 符合 需求 ,可 直接 使 用 此 
规则 。 此 默认 规则 的 优先 级 最 低 ,而 且 不 可 以 被 停 用 。 

如 果 要 另外 创建 新 规则 ,可 以 在 如 图 5-69 所 示 的 【缓存 规则 选项 卡 下 , 单 击 右边 【 任 
务 】 选 项 卡 中 的 [创建 缓存 规则 】 选 项 ,方法 如 前 面 所 述 。 


Internet Security & : 轩 存 钱 服 务 SA 
AS 配置 存 线 服务 器 : Ish2006 


国美 用 所 规则 


相关 任务 


图 5-69 ”选择 [创建 缓存 规则 命令 
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5.6.5 缓存 区 内 容 的 更 新 


1. 定时 自动 下 载 网 页 内 容 


可 以 排 定 ISA Server 在 指定 时 间 到 达 时 自动 从 指定 网 站 下 载 网 页 ,以 便于 客户 端 可 以 
很 快 地 从 ISA Server 缓存 区 取得 所 需 网 页 。 

定时 自动 下 载 网 页 内 容 的 方法 如 下 : 

(1) 如 图 5-70 所 示 , 在 KISA 服务 器 管理 了 窗口 中 选择 [配置 ] 人 缓存] 选项 ,选择 [内 容 下 
载 作 业 】 选 项 卡 , 青 单 击 窗口 右边 【任务 】 选 项 卡 的 [计划 内 容 下 载 作业 】 选 项 。 


ration Server 2006 
帮助 0 
外省 | 白 | 加 | 七 困 昌 | 到 
国 Wierosoft Internet Security 
企业 
日 -出 阵列 
日 励 IsAz0o8 


畦 昨 宙 ， 单 击 “应 用 ”。 
固 %iis os 全 且 击 | 。 医 章 | 要 供奉 更 收 并 更 新 可 置 ， 单 击 “ 应 用 
号 虚拟 专用 网 络 VPID 


CBN 
ET | 

内 和 下 茹 作业 定 六 ISA 服务 听取 的 Web 内 容 拓 寺 | 卫 让 内 容 下 载 任务 

要 他 时 内 容 下 载 作业 ,请 在 任务 窗 格 单 击 计划 内 容 下 载 作业 。 用 二 计划 内 容 下 载 作业 


相关 任务 

配置 楼 存 设置 

图 导出 内 容 下 载 作业 配置 

佬 导入 内 容 f 载 作业 配置 ” 国 
L 


图 5-70 选择 [计划 内 容 下 载 作业 选项 
(2) 若是 第 1 次 单 击 【计划 内 容 下 载 作 业 ] 选 项 , 则 会 出 现 如 图 5-71 所 示 的 警告 对 话 框 ， 
直接 单 击 【是 了 按钮 。 


匿 注意 : 完成 此 步骤 后 ,本 地 主机 ( 指 ISA Server 计算 机 ) 就 必须 以 Web 代理 客户 
端的 角色 才 可 以 上 网 。 
(3) 如 图 5-72 所 示 , 单 击 【 应 用 按钮 后 再 单 击 【 确 定 ] 按 钮 。 
(4) 与 步骤 (1) 相 同 , 单 击 图 5-70 右边 的 【计划 内 容 下 载 作业 】 选 项 。 


(5) 在 弹出 的 [欢迎 使 用 内 容 下 载 作业 向 EE 
导 】 对 话 框 中 将 此 计划 命名 为 “新 浪 新 闻 ”, 然 后 下 载 作业 人 正则 下 情况 运行。 


单 击 [下 一 步 ] 按 钮 。 ca 
(6) 如 图 5-73 所 示 , 选 择 下 载 频率 (例如 有 

“每 天 ”); 在 如 图 5-74 所 示 的 【每 天 频率 对 话 否 中 和 | 

框 中 设置 频率 的 日 期 和 时 间 , 单 击 【 下 一 步 】 

按钮 。 图 5-71 【启用 计划 内 容 下 载 作业 警告 对 话 框 
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let Security & 1 
Ac ES 2005 配置 存储 服务 器 - ISA2006 


.名 防火 墙 策略 ISA2006) 
局 虚拟 专用 网 络 WFD 


内 容 下 载 作业 定义 ISA 服务 器 应 预 职 的 Web 内 容 并 计划 应 该 组 
存 内 容 的 时 间 。 


要 犁 娃 内 容 下 载 作业 ， 请 在 任务 窗 格 单 击 计划 内 容 下 载 作业 。 如 计划 内 容 下 载 作业 


相关 任务 
吨 配置 级 存 设置 
| 


图 5-72 单 击 [ 应 用 3 按钮 


到 本 
下 载 频 率 每 天 频率 
请 选择 作业 运行 的 频率 。 您 可 以 安排 作业 一 天 运行 一 次 ， 或 者 在 一 整 天 有 规律 地 间隔 运行 , 


作业 开始 B 央 Im， ooe- 7-16 了 
ff 时 间 ); [5 画 要 


个 拇 天 运行 此 作业 一 次 邓 ) 


三 重复 间隔 到 ) 细 钟 FE 
三 寺 时 间 后 必得 局 动 一 个 新 的 运行 全) [EE 


| 
图 5-73 【下 载 频率 ] 对 话 框 图 5-74 【每 天 频率 对 话 框 


(7) 如 图 5-75 所 示 , 在 【内 容 下 载 ] 对 话 框 中 设置 要 从 哪 一 个 网 站 下 载 网 页 ,并 设置 [ 作 
业 限 制 〗 选 项 区 的 选项 , 单 击 【 下 一 步 ] 按 钮 。 

(8) 如 图 5-76 所 示 , 在 【内 容 缓 存 】 对 话 框 中 设置 缓存 内 容 与 设置 内 容 的 生存 周 
期 (TTL) ,然后 单 击 [ 下 一 步 ] 按 钮 。 

(9) 最 后 在 【正在 完成 计划 内 容 下 载 作业 向 导 】 对 话 框 中 , 单 击 【 完 成 按钮 。 


2. 删除 缓存 区 的 数据 


由 于 ISA Server 缓存 区 中 的 数据 有 一 个 有 效 期 限 (如 2 小 时 ) ,虽然 网 站 的 内 容 已 经 更 
新 ,但 是 缓存 区 中 内 容 还 是 旧 的 ,如 何 迅速 更 新 缓存 区 中 的 内 容 呢 ?此 时 最 快 的 解决 方法 就 
是 手动 将 ISA Server 缓存 区 的 数据 删除 。 删 除 缓存 区 数据 的 步骤 如 下 : 

(1) 停止 防火 墙 服务 。 如 图 5-77 所 示 ,在 KISA 服务 器 管理 ] 窗 口中 选择 【监视 【服务 〗 选 
项 ,再 选择 Microsoft Firewall ,然后 单 击 窗 口 右边 [任务 了 选项 卡 中 的 【停止 选择 的 服务 了 选项 。 

(2) 删除 缓存 文件 。 如 图 5-78 所 示 ,删除 文件 夹 urlcache 内 的 Dirl. cdat 文件 (假设 组 


存 硬 盘 驱动 器 在 C 盘 ) 。 
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本 到 
内 容 下 载 内 容 缕 存 
指定 此 作业 的 内 容 下 载 详细 信息 - 请 指定 要 各 存 的 内 容 和 在 过 期 前 对 象 在 生存 中 生存 的 时 间 - 

从 此 URL 下 载 内 容 中) 绥 存 内 容 
Fessincem 个 缕 存 所 有 内 容 QL) 
示例: http:/1widgsts nierosoft. eom/eontent 

作业 限制 

厂 不 要 转 到 在 指定 的 WRL 域名 称 之 外 的 链接 到 ) 

厂 每 页 的 最 大 链接 深度 由); | = 

将 检索 的 最 大 对 和 象 数目 限制 为 LL); Fo | 人 

此 作业 要 自 隆 的 并 发 TCF 连接 的 最 大 数目 吧 ) : BE 用 5 的 LT OO 

生存 周 贿 是 内 容 在 过 期 前 在 鳗 存 中 保存 的 时 间 。 
sm [FF m | | 
图 5-75 【内 容 下 载 ] 对 话 框 图 5-76 【内 容 缓 存 ] 对 话 框 
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EE 
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翰 3.5 软盘 4:) 
日 加 本 地 磁盘 CC:) 
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联 型 :出 crosoft ISA Server 组 存 文件 修改 日 期 ，2009-8-28 8436.8 吓 。” ”|[ 我 的 电脑 


图 5-78 删除 缓存 文件 
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(3) 重新 启动 防火 墙 服 务 。 如 图 5-79 所 示 ,在 【ISA 服务 器 管理 窗口 单 击 右边 【任务 】 
选项 卡 中 的 [启动 选择 的 服务 选项 。 


i i 查看 QW 帮助 0D 
守 小 | 因 | 加 | 岛 田 3|» 


配置 存储 服务 器 - ISA2006 


ucrosor 
Internet Security & 

Acceleration Server2006 A 正在 监视 ISA2006 
Entepree Emon 


史册 crosoft ISA Server Job 
放量 crosoft 数据 引擎 


图 5-79 单 击 【 启 动 选择 的 服务 选项 


5.7 |SA Server 客户 端的 应 用 
5.7.1 ISA Server 客户 端 概述 


ISA Server 支持 三 种 不 同 的 客户 端 ,它们 分 别 有 着 不 同 的 配置 ,支持 的 网 络 协议 也 有 所 
不 同 ,与 ISA Server 之 间 的 沟通 方式 也 略微 有 些 不 同 。 

。 Web 代理 客户 端 (Web Proxy client) : Web 代理 客户 端 只 能 利用 网 页 应 用 程序 ( 例 
如 浏览 器 ) 访 问 Internet 的 HTTP、HTTPS 与 FTP 对 象 。Web 代理 客户 端 是 将 请 
求 传递 给 ISA Server 的 连接 端口 8080, 而 当 ISA Server 接收 到 Web 代理 客户 端的 
请 求 后 ,会 将 此 请 求 委 托 防火 墙 服务 来 决定 是 否 允 许 。ISA Server 防火 墙 会 从 缓冲 
区 来 读 取 Web 代理 客户 端 所 请 求 的 对 象 , 而且 也 会 将 从 Internet 取得 的 对 象 保存 
到 缓冲 区 。 
SecureNAT 客户 端 (SecureNAT client): SecureNAT 客户 端 能 够 通过 ISA Server 
来 访问 Internet 的 TCP、UDP、HTTP、HTTPS、FTP 与 其 他 网 络 协议 的 资源 。 
SecureNAT 客户 端 是 利用 默认 网 关 将 请 求 传递 给 ISA Server, 而 当 ISA Server 接 
收 到 SecureNAT 客户 端的 请 求 后 .会 先 利 用 NAT driver (Network Address 
Translation driver) 将 数据 包 的 源 地 址 转换 为 一 个 对 外 有 效 的 IP 地 址 ,然后 再 将 此 
请 求 转交 给 防火 墙 服务 ,并 搭配 适当 的 筛选 器 ,来 决定 是 否 允 许 此 请 求 。 
防火 墙 客 户 端 (Firewall client): 这 些 客户 端 必须 另外 安装 Microsoft Firewall 
Client。 防 火 墙 客户 端 是 将 HTTP 请 求 传递 给 ISA Server 的 连接 端口 8080 ,将 非 
HTTP 请 求 传递 给 ISA Server 的 连接 端口 1745 ,而 当 ISA Server 接收 到 防火 墙 客 
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户 端的 请 求 后 ,会 将 此 请 求 转交 给 防火 墙 服务 ,并 搭配 适当 的 筛选 器 ,来 决定 是 否 允 


许 此 请 求 。 


表 5-1 列 出 各 个 客户 端的 基本 差异 。 
表 5-1 各 个 客户 端的 基本 差异 


特 点 Web 代理 客户 端 SecureNAT 客户 端 防火 墙 客户 端 

支持 的 操作 系统 所 有 的 操作 系统 所 有 的 操作 系统 只 支持 Windows 操作 系统 
支持 的 网 络 协议 HTTP.HTTPS.FTP 

是 否 需 要 宾 外 安装 软件 | 个 介 全 需要 浏览 器 | 天 ,但 是 需要 网 络 配置 | 是 

HTTP 验证 用 户 身份 是 只 有 VPN 客户 端 是 

非 HTTP 验证 用 户 身份 | 不 支持 访问 只 有 VPN 客户 端 是 

选择 适当 的 客户 端 不 建议 选用 发 布 网 站 或 服务 器 普通 用 户 
5.7.2 搭建 ISA Server 客户 端 测试 环境 

如 图 5-80 所 示 ,搭建 ISA Server 客户 端 测试 环境 。 
内 部 网 络 ISA Server 防 火 墙 外 部 网 络 


SecureNAT 客 户 端 
IP: 192.168.2.102/24 
默 上 19 


168.2.200 


DNS: 202.103.225.68 
indows XP 专业 版 ) 


防火 墙 客户 端 


IP: 192.168.2.103/24 
默认 网 关 ; 


DNS: 不 前 定 网 
(Windows XP 专业 版 ) 


S73 


图 5-80 


ISA Server 的 配置 


(Windows Server 2003) 


ISA Server 客户 端 测试 环境 


IP: 192.168.0.1/24 


外 网 卡 
IP: 192.168.0.101/24 
认 网 卡 : 192.168.0.1 
DNS: 202.103.225.68 


下 面 介绍 如 何在 ISA Server 中 创建 规则 .开放 内 部 网 络 用 户 可 以 访问 外 部 网 站 。 
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1. 防火 墙 规则 的 开放 


修改 原来 创建 的 一 个 名 为 “允许 本 地 主机 访问 外 部 网 站 ”的 访问 规则 (此 规则 开放 让 
ISA Server 这 人 台 本 地 主机 可 以 访问 Internet 的 网 页 ), 让 内 部 网 络 的 客户 端 也 可 以 访问 
Internet 的 网 页 对 象 。 方 法 如 下 : 

(1) 在 KISA 服务 管理 窗口 左 侧 列表 中 选择 [防火墙 策略 〗 选 项 ,然后 双击 【允许 本 地 主 
机 访问 外 部 网 站 访问 规则 ,如 图 5-81 所 示 。 


防火 墙 策略 (TSk2006) 


图 5-81 双击 [允许 本 地 主机 访问 外 部 网 站 了 访问 规则 


(2) 将 访问 规则 名 称 改 为 “允许 内 部 和 本 地 主机 访问 外 部 网 站 ”, 如 图 5-82 所 示 。 


FREETTIETISLCTSGSSSS 
用 户 | 计划 1 内 容 类 型 | 
铀 | 操作 | 协议 | 从 | 到 


[9] FREE 


图 5-82 更 改 访问 规则 名 称 
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(3) 选择 [从 了 选项 卡 , 单 击 [ 添 加 按钮 ,选择 网 络 之 下 的 【内 部 3 选项 ,依次 单 击 【 添 加 了 
按钮 【关闭 按钮 【确定 按钮 ,如 图 5-83 所 示 。 


用 户 | 计划 1 内 | 
I x 人 到 
网 络 实体 : 读 : 


期 除 中) 


日 芒 网 络 
局 YN 客户 端 
寺 被 隔离 的 YPN 客户 端 


图 5-83 ”将 [内 部 ] 网 络 添加 到 [从 】 选 项 卡 


(4) 依次 单 击 【 应 用 3 按钮 和 [确定 ] 按 钮 ,如 图 5-84 所 示 。 


文件 在) 操作 查看 YY) 帮助 0D 
守 消 | 旬 | 加 | 岛国 和 9| 避 他 XO 回 虽 | 殉 


Nice 
e2006 配置 存 外 服务 器 : TShz006 防火 墙 策略 TSA2006) 


mterpre Edivon 


,| 人心 到 天 Rr 
|/ 匡 炎 培 策 呈 | 


在 阵列 防火 墙 策略 之 前 应 用 的 企业 策略 规则 


图 5-84 单 击 [应 用 按钮 


2. 确认 可 接收 “Web 代理 客户 端 "的 请 求 


(1) 在 [ISA 服务 管理 了 窗口 中 选择 【配置 ] 选 项 下 的 【网 络 】 选 项 ,再 双击 【网 络 ] 选 项 卡 
中 的 【内 部 3 选项 ,如 图 5-85 所 示 。 
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internet secu 
Ke Seer za 配置 存储 服务 器 : ISA2006 


国外 部 IP 地 址 在 ISA 服务 器 代表 Internet 的 内 置 网 络 x 
必 本 地 主机 设 有 IP 地 址 与 此 网 络 代表 ISA 服务 器 计算 机 的 内 
入 . 补 嫩 训 的 | VPN 此 网 络 当 前 没有 分 配 TP 内 赤 动 太 网 络 对 免 ， 它 代 责 计 


图 5-85 ”双击 [内部] 网络 


(2) 在 【内 部 属性 对 话 框 中 ,选择 [Web 代理 选项 卡 ,选中 [为 此 网 络 启用 Web 代理 
客户 端 连接 了 注意 : Web 代理 服务 的 连接 端口 为 8080) ,如 图 5-86 所 示 。 
(3) 单 击 【确定 了 按钮 。 


5.7.4 ”Web 代理 客户 端的 配置 


所 有 的 操作 系统 都 可 以 扮演 Web 代理 客 
户 端的 角色 ,不 过 只 支持 HTTP、HTTPS 与 
FTP 网 络 协议 。 

ISA Server 默认 通过 连接 端口 8080 来 侦 
听 Web 代理 客户 端的 请 求 。 当 ISA Server 收 
到 Web 代理 客户 端 访 问 Internet 网 页 或 FTP 
对 象 的 请 求 时 ,会 由 防火 墙 服务 来 决定 是 否 允 
许 此 请 求 ,如 果 人 允许 , 接 下 来 会 通过 网 页 代理 
筛选 器 来 检查 缓冲 区 是 否 有 客户 端 所 需 的 对 
象 ,如 果 有 ,防火 墙 服务 会 将 对 象 传递 给 客户 
端 ; 如 果 没 有 , 则 上 网 下 载 对 象 ,并 通过 网 页 代 图 5-86 【Web 代理 3 选项 卡 
理 筛 选 器 将 下 载 的 对 象 保存 到 缓冲 区 。 

需要 在 Web 代理 客户 端的 应 用 程序 内 指定 将 ISA Server 当 作 是 代理 服务 器 ,该 应 用 
程序 才 会 将 访问 Internet 网 页 与 FTP 对 象 的 请 求 . 传 递 给 ISA Server 的 连接 端口 8080。 
其 配置 步 又 如 下 : 

(1) 运行 IE(Internet Explorer) 浏 览 器 ,如 图 5-87 所 示 ,再 选择 【工具 人 Internet 选项 】 
命令 。 

(2) 选择 【连接 】 选 项 卡 , 单 击 【 局 域 网 设置 按钮 ,如 图 5-88 所 示 。 


ry 
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党 规 | 安全 | 隐秘 | 内 容 。 连接 | 程序 | 高 级 | 
3 


三 执导 和 虚拟 专用 网 络 设置 0) 


EECEOSESEOT 


文件 虽 编辑 名、 查看 WD 收藏 内 | 工具 上 硕 助 四 


ESERP 辣 rr 
地 址 加 | 乱 sbout blank 


EY 
etd ， 单 击 “ 设 设置 从 7 
只 坟 不 涝 行 按 号 连接 全 ) 
了 P 了 诊 同 络 这 按 办 否 疗 在 郝 进 行 找 号 0W) 
【1 


当前 职 认 连接 : 无 没 置 默 座 得 匡 ) 


局 红 网 QD 设置 一 一 一 一 一 一 一 一 一 一 一 一 一 
MT nes.| 


图 5-87 ”Internet 选项 图 5-88 【连接 】 选 项 卡 


(3) 在 【局 域 网 (LAN) 设 置 ] 对 话 框 中 ,选中 [为 LAN 使 用 代理 服务 器 〗 选 项 ,将 ISA 
Server 内 网 卡 的 IP 地 址 192. 168. 2. 200 输入 到 [地址 ] 文 本 框 中 ,将 连接 端口 8080 输入 到 
【端口 ] 文 本 框 中 ,如 图 5-89 所 示 。 

完成 5.7.3 小 节 ISA Server 的 配置 和 本 节 Web 代理 客户 端的 配置 后 ,就 可 以 在 此 
Web 代理 客户 端 利用 下 浏览 器 上 网 测试 ,此 时 可 以 通过 ISA Server 下 载 所 需 网 页 ,这 些 下 
载 的 对 象 也 会 被 保存 到 ISA Server 缓冲 区 。 


5.7.5 SecureNAT 客户 端的 配置 


所 有 的 操作 系统 都 可 以 扮演 SecureNAT 客户 端的 角色 ,并 支持 TCP、UDP、HTTP、 
HTTPS、FTP 与 其 他 网 络 协议 。 如 果 要 将 内 部 或 DMZ 网 络 内 的 服务 器 (例如 电子 邮件 服 
务 器 、 网 站 等 ) ,发 布 给 Internet 用 户 访问 ,最 好 将 这 台 服 务 器 配置 为 SecureNAT 客户 端 。 


1. SecureNAT 客户 端的 配置 


将 SecureNAT 客户 端的 默认 网 关 指 定 为 ISA Server 内 网 卡 的 IP 地 址 ,再 将 
SecureNAT 客户 端的 首选 DNS 服务 器 指定 到 公司 内 部 的 DNS 服务 器 或 Internet 上 任何 
一 台 可 以 正常 运作 的 DNS 服务 器 ,如 图 5-90 所 示 。 


2. 开放 DNS 流量 


SecureNAT 客户 端 在 解析 DNS 主机 名 时 ,如 果 需 要 通过 ISA Server 来 向 外 部 查询 ， 
就 在 ISA Server 开放 让 从 内 部 网 络 来 的 DNS 流量 能 够 通过 。 开 放 DNS 流量 的 步骤 
如 下 : 

(1) 在 [ISA 服务 管理 了 窗口 中 从 左 侧 列表 中 选择 [防火 墙 策略 】 选 项, 单 击 窗口 右边 【 任 
务 】 选 项 卡 中 的 【创建 访问 规则 选项 ,如 图 5-91 所 示 。 
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Internet 协议 (TCP/IP) 尾 性 了 xl 


zy 
三 自 动 配置 
RS 要 确保 使 用 手动 设置 ,请 禁用 自动 配 IP 地 址 加 [1s 68 2 102 
厂 自动 检测 设置 Q) 子 网 掩 码 0D): 255 ,255 .255 . 0 
厂 使 用 自动 配置 脚本 (6) 默认 网 关 四 ): 192 .168 . 2 .200 
Ee I 个 自动 获得 DNS 服务 器 地 址 虽 ) 
三 代理 服务 器 广 人 使 用 下 面 的 DNS 服务 器 地 址 @E): 
入 中 代理 服务 器 必 )】 这些 设 置 不 会 应 用 于 拨号 或 首选 DS 服务 器 到 ) [an 103 225 ,68 
用 E 
地 二 加， i602 200 [区 GUO CC | ed 
玉 罗 于 本 地 于 本 不 合用 代理 妥 务 器 而 j| 


图 5-89 【代理 服务 器 设置 


ES 配置 存储 服务 器 - ISA2006 防火 墙 策略 (TSA2006) 
don 


监视 
加 防火墙 第 咯 CTSh2006) 
司 虚拟 专用 网 络 WE [了 YE 
日 -交配 置 二 - 
防火 墙 策略 任务 
已 发 布 Exchange Web 客 | 
户 端 访问 
防火 培 策略 规则 at 
发 布 SharePoint 站 点 
日 回 ! 卫 齐 。” 交 放 内 部 和 本 机 主机 访问 外 回 交 许 jrTp 3 
E 加 OA 己 发 布 网 站 
习 发 布地 Yeb 服务 器 协议 
局 8 妥 访 加 上风 曾 


在 阵列 防火 墙 策略 之 前 应 用 的 企业 策略 规则 


图 5-91 单 击 [创建 访问 规则 】 选 项 

(2) 在 【欢迎 使 用 新 建 访问 规则 向 导 】 对 话 框 中 为 此 访问 规则 命名 (例如 “允许 DNS 
请 求 ”) 。 

(3) 在 【新 建 访问 规则 向 导 3 对 话 框 中 选择 [允许 选项, 单 击 【[ 下 一 步 ] 按 钮 ,从 [此 规则 
应 用 到 下拉 列表 中 选择 “所 选 的 协议 ”, 单 击 [ 添 加 按钮 ,如 图 5-92 所 示 。 


(4) 在 【添加 协议 对 话 框 中 选择 “DNS?” 通 用 协议 ,依次 单 击 [ 添 加 按钮 了 关闭 按钮 、 
【下 一 步 ] 按 钮 ,如 图 5-93 所 示 。 


(5) 在 新 建 访问 规则 向 导 的 [访问 规则 源 】 对 话 框 中 ,选择 此 规则 的 “访问 规则 源 ”。 要 
让 内 部 网 络 所 有 计算 机 的 DNS 请 求 通过 ISA Server 防火 墙 ,因此 选择 “内 部 ”选项 ,如 


图 5-94 所 示 。 


图 5-93 选择 DNS] 通用 协议 


(6) 在 新 建 访问 规则 向 导 的 [访问 规则 目标 】 对 话 框 中 ,选择 此 规则 的 “访问 规则 目标 ”。 
要 允许 向 外 部 所 有 的 DNS 服务 器 查询 ,选择 “外 部 ”选项 ,如 图 5-95 所 示 。 

(7) 在 【用户 集 对话 框 中 单 击 【 下 一 步 3 按 钮 ,将 此 规则 应 用 到 所 有 用 户 。 

(8) 在 【完成 新 建 访问 规则 向 导 】 对 话 框 中 , 单 击 【 完 成 ] 按 钮 。 

(9) 在 [ISA 服务 器 管理 了 窗口 中 依次 单 击 [ 应 用 ] 按 钮 了 确定] 按钮 。 

完成 以 上 配置 后 ,利用 这 人 台 SecureNAT 客户 端 计 算 机 上 网 测试 ,此 时 可 以 通过 ISA 
Server 访问 所 需 的 网 页 。 


她 


人 
eo 
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图 5-94 添加 [内 部 ] 网 络 到 【访问 规则 源 】 


新 建 访问 规则 向 导 


5-95 添加 [外 部 了 网 络 到 [访问 规则 目标 】 
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5.7.6 防火 墙 客户 端的 配置 


要 配置 为 防火 墙 客 户 端 ,客户 端 必 须 是 Windows 平台 ,而 且 还 要 安装 Microsoft 
Firewall Client 软件 。 


| 
1. 客户 端的 配置 wn 一 -一 : 
| _ Ee 况 虹 请 和 
防火 墙 客户 端的 TCP/IP 只 需要 配置 人 
IP 地 址 和 子 网 掩 码 即 可 ,如 图 5-96 所 示 。 人 册 二 下 而 的 下 于 证 攻 一 一 一 一 一 一 一 一 一 
JP 地 址 CI); [isz 168 .2 10 
2. 安装 Microsoft Firewall Client 软件 RI [Em 
默认 网 关 四 )- rr 


客户 端 安装 了 Microsoft Firewall Client 


介 自动 获得 DNS 服务 器 地 址 他) 


软件 后 , 当 客 户 端 的 Winsock 应 用 程序 请 求 (全 用 下 面 的 DNS 服务 器 地 址 @); 


与 其 他 网 络 的 计算 机 沟通 时 ,会 由 Microsoft ee 


Firewall Client 负责 将 此 请 求 传递 给 ISA 
Server。 但 是 如 果 要 沟通 的 对 象 是 内 部 网 络 
的 其 他 计算 机 , 则 此 沟通 请 求 并 不 会 传递 给 
ISA Server。 安 装 方法 如 下 : 

(1) 在 ISA Server 中 创建 规则 ,开放 
NetBIOS 会 话 .NetBIOS 名 称 服务 .NetBIOS 数据 报 三 个 网 络 协议 ,方向 为 从 * 内 部 网 络 ?到 
“本 地 主机 ,以便 防火 墙 客户 端 解析 ISA Server 的 计算 机 名 ,如 图 5-97 所 示 。 


图 5-96 ”防火 墙 客户 端的 IP 参数 
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图 5-97 创建 访问 规则 


(2) 确认 ISA Server 是 否 可 以 接收 内 部 网 络 防火 墙 客户 端 访 问 Internet 的 请 求 。 如 
图 5-98 所 示 , 双 击 【 网 络 】 选 项 卡 的 【内 部 〗 选 项 ,在 【内 部 属性 对 话 框 中 选择 【防火 墙 客户 
端 ] 选 项 卡 , 选 中 【启用 此 网 络 的 防火 墙 客 户 端 支持 〗 选 项 ,在 【ISA 服务 器 名 称 或 IP 地 址 】 文 
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文件 四 操作 人 查看 RE 
站 县 天 二 下 


入。 地 址 ，| 域 | Yeh 浏览 器 | 自动 发 现 
防火 墙 客 P 谊 | web 代理 | cae | ms 


太 启用 此 网 络 的 防火 墙 客户 端 支持 到) 
三 防火 雯 客户 请 配置 
ISA 服务 器 名 称 或 IF 地 址 四- 
es ol 
在 防火 墙 客户 端 计 算 机 上 的 Web 浏览 器 配置 
自动 检测 设置 E) 
灰 便 用 自动 配置 脚本 QW) 
分 使 用 默认 WRLE) 
个 使 用 自 定义 WRLEC) 
Rs J 189. 2 200° 89060/array. A417Get, Routi 


信使 用 Web 代理 服务 器 入) 
ISA 服务 器 名 称 或 IP 地 址 虽 ) 


Er Iaaaal 
关于 自 动 检测 设置 的 帮助 


图 5-98 【内 部 了 网络 的 [防火 墙 客户 端 } 选 项 卡 


(3) Microsoft Firewall Client 软件 是 放 在 ISA Server 软件 包 的 client 文件 夹 内 ,执行 
此 文件 夹 中 的 setup. exe 程序 ,安装 界面 如 图 5-99 所 示 ,选择 【连接 到 此 ISA 服务 器 计算 
机 了 单 选 按钮 ,然后 输入 ISA Server 的 IP 地 址 或 主机 名 (例如 输入 ISA Server 内 部 网 卡 的 
IP 地 址 192. 168. 2. 200) 。 


3.“ 防 火 墙 客户 端 ?默认 也 是 "Web 代理 客户 端 ” 


当 防 火 墙 客户 端 安装 了 Microsoft Firewall Client 后 ,系统 自动 会 在 Internet Explorer 
浏览 器 内 将 ISA Server 配置 为 代理 服务 器 ,客户 端 利用 Internet Explorer 访问 Internet 的 
网 页 与 FTP 对 象 时 ,该 防火 墙 客户 端 被 视 为 Web 代理 客户 端 ,如 图 5-100 所 示 。 


四 2 
15A 服务 器 计算 机 选择 -自动 We 置 
指定 客户 负 支持 要 连接 的 TSA 服务 器 计算 机 。 利和 本 村 机 和 手动 时 要 确保 使 用 手动 3 置 ， 请 森 用 自动 有 
5h 服务器 计算 机 于 才 客户 凡生 可 以 检测 EE | 
人 使 用 自动 配置 脚本 G) 
人 连接 到 此 ISA 服务 器 计算 机 CC); 地 址 邓 ) http://192. 168.2.200:8080/arra; 
键入 ISA 服务 器 主机 名 称臣 IF 地 址 
一 代理 服务 器 


Jisz 188.2. 20o 
示例 : isa nicrosoft. com 或 157.54.0.1 
个 自动 检测 合适 的 ISA 服务 器 计算 机 @&) 


本 A LAN 代理 服务 器 六 )】 (这 些 设置 不 会 应 用 于 拨号 或 


地 址 双 ): |192.168.2.200 端口 中 :|aos0 “高 级 EE 


捷 对 于 本 地 地 址 不 使 用 代理 服务 器 @) 


注意 : 这 些 设置 可 以 稍 后 使 用 客户 端 支持 管理 应 用 程序 进行 更 改 。 


《上 一 步 @) | 下 一 步 吧 > | 取消 


图 5-99 【ISA 服务 器 计算 机 选择 3 对 话 框 图 5-100 【局 域 网 (LAN) 设 置 ] 对 话 框 
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5.8 开放 访问 Internet 


1 访问 Internet 概述 


一 般 用 户 上 网 的 目的 ,主要 就 是 访问 网 页 .访问 FTP 文件 ,收发 电子 邮件 等 ,本 实验 介 


绍 如 何在 ISA Server 开放 这 些 流量 。 


在 ISA 中 要 开放 这 些 规则 ,需要 创建 如 下 4 个 访问 规则 。 


NetBIOS 计算 机 名 称 。 
允许 内 部 到 外 部 的 DNS 请 求 ,让 内 部 所 有 客户 端 可 以 向 外 部 DNS 服务 器 查询 。 


为 21)。 


内 的 邮件 ,也 让 用 户 可 以 通过 外 部 SMTP 服务 器 来 收发 电子 邮件 。 


5.8.2 创建 访问 规则 


如 图 5-101 所 示 ,在 KISA 服务 器 管理 了 窗口 左 侧 列表 中 单 击 [防火墙 策略 3 选项 , 单 击 窗 
口 右边 【任务 了 选项 卡 中 的 【创建 访问 规则 3 选项 ,规则 的 创建 的 方法 和 步骤 如 
述 。 


可 以 创建 如 图 5-102 所 示 的 4 个 访问 规则 。 

。 允许 内 部 到 本 地 主机 的 NetBIOS 请 求 。 

。 允许 内 部 到 外 部 的 DNS 请 求 。 

。 允许 内 部 和 本 地 主机 访问 外 部 网 站 与 FTP。 
。 允许 内 部 到 外 部 的 SMTP 与 POP3 请 求 。 


文件 @) 人 查看 如 
如 | 因 | 辐 | 岛国 日 | 加 卫 X DO 二 四 吕 同 


防火 雯 策略 (TSA2006) 


时 时 人 | 防火 墙 策 略 任务 


eBios 双生 报 加 发布 Exebeage vab 客 


国 3 阵列 允许 内 部 到 外 部 is 请 求 加 4 明 ms 全 内 间 户 负 访问 
日 国 4 阵列 。 允许 内 部 到 外 部 的 SIT? 与 POF3 请 求 加 4 网 mms 二 内 a 
[Fe 司 发 布 SharePoint 站 点 
日 国 5 阵列 允许 内 部 和 本 地 主机 访问 外 部 同 站 与 FT 多 人 省 鸭 rTr 之 机 四 区 和 网站 
[of 之 内 | 用 与 发 布 雪 reb 服务 器 内 这 
于 一 一 可 癌 二 攻 月 加 则 可 


图 5-101 单 击 【创建 访问 规则 】 选 项 


允许 内 部 到 本 地 主机 的 NetBIOS 请 求 . 让 内 部 客户 端 可 以 解析 ISA Server 主机 的 


允许 内 部 与 本 地 主机 访问 外 部 网 站 与 FTP, 让 内 部 客户 端 与 本 地 主机 可 以 连接 位 


于 Internet 的 网 站 与 FTP 服务 器 (假设 网 站 连接 端口 为 80,SSL 网 站 为 443,FTP 


允许 内 部 到 外 部 的 SMTP 与 POP3 请 求 , 让 内 部 客户 端 可 以 接收 外 部 POP3 服务 器 


5.4.3 小节 所 
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文件 下 操作) 查看 OO 二 
EECONIETSGED 


防火 墙 策略 (TSA2006) 


Oitif yetpios 会 话 
DNetBI0s 名 称 服务 
有 WetBios 数据 报 
[可 > 阵列 区 许 内 部 到 外 部 DIS 请 求 FT 广内 部 。 屿 外 部 
日 国 3 阵列 允许 内 部 到 外 部 的 SMTP 与 POP3 请 求 itif 只 Ps < 内 部 全 外 部 
WO SHTP 


日 国 4 阵列 允许 内 部 和 本地 主机 访问 外 部 网 站 与 FTP 多 区 许 rr 坊 本 地 主机 七 外 部 
[Wb 二 内 部 


图 5-102 创建 了 4 个 访问 规则 


5.8.3 开放 FTP 写 入 的 功能 和 开放 非 标准 连接 端口 


1. 开放 FTP 写 入 的 功能 


由 于 ISA Server 默认 开放 给 用 户 对 FTP 服务 器 的 权限 是 “只 读 ”, 因 此 ,即使 FTP 服务 
器 本 身 已 经 开放 “ 写 和 人” 权限, 用户 通过 ISA Server 仍然 无 法 上 传 或 修改 文件 。 在 ISA 
Server 内 开放 FTP 写 人 权限 的 步骤 如 下 。 

(1) 在 如 图 5-102 所 示 的 [ISA 服务 器 管理 了 窗口 中 ,双击 [允许 内 部 和 本 地 主机 访问 外 
部 网 站 与 FTP】。 

(2) 在 打开 的 [允许 内 部 和 本 地 主机 访问 外 部 网 站 与 FTP 属性 ] 对 话 框 中 选择 [协议 】 
选项 卡 , 单 击 【 筛 选 按 钮 并 选择 【配置 FTP 命令 ,如 图 5-103 所 示 ; 在 打开 的 【配置 FTP 协 
议 策略 3 对 话 框 中 ,取消 选中 [只 读 ] 复 选 框 ,如 图 5-104 所 示 。 

(3) 回 到 [ISA 服务 器 管理 了 窗口 ,依次 单 击 【 应 用 按钮 【确定 按钮 。 


2. 开放 非 标 准 连 接 端 口 


前 面 针 对 网 页 .FTP 与 电子 邮件 所 开放 的 规则 ,都 是 假设 它们 所 使 用 的 TCP 连接 端口 
是 标准 的 (例如 网 站 为 80、.FTP 为 21、.SMTP 为 25、POP3 为 110) 。 如 果 某 个 服务 器 软件 拥 
有 自己 的 连接 端口 ,或 者 网 站 等 服务 器 使 用 不 标准 连接 端口 ,就 需要 先 另外 创建 新 的 协议 ， 
然后 在 访问 规则 内 开放 这 个 新 的 协议 。 

假设 要 开放 内 部 网 络 的 用 户 可 以 访问 连接 端口 被 设置 为 9988 的 网 站 , 则 要 先 创建 一 个 
连接 端口 为 9988 的 新 协议 。 操 作 步 又 如 下 : 

(1) 在 [ISA 服务 器 管理 了 窗口 中 ,在 左 侧 列表 中 选择 [防火 墙 策略 选项 ,再 单 击 窗口 右 
边 的 【工具 箱 】 选 项 卡 ,选择 【协议 新建 ] 民 协议 了 命令 ,如 图 5-105 所 示 。 
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[| 允许 内 训 和 本 地 主机 访问 外 部 同 站 与 FTP 讨 广 | 
用 户 1 计划 | 内 容 关 型 | 
常 杭 | 名作 协议 | 从 | 到 | 
此 规则 应 用 到 人 ): 
[Fm 避 
| 
ED 
删除 咏 


Ea mi ity and Acce 
文件 时) 操作 从) 查看) 帮助 0 


配置 FTP 协议 策略 下 x| 
Wx | 


定义 相关 规则 的 FTP 协议 。 


RE 加 
加 果 选 择 了 只 读 ,FTP 上 载 格 被 阻止 。 


国 | 久 国 和 9 以 吕 | 站 


2 阵列 允许 内 部 到 外 部 DNS 请 求 


日 国 3 阵列 区 许 内 部 到 外 部 的 SMTF 与 F0F3 请 求 


防火 墙 策略 (TSA2006) 


加 允许 网 metpios 
WO WetBIos 
WNetbios 


@tif Ws 
加 4#i 歇 Por3 
前 sm 


_]4 阵列 区 许 内 部 和 本 机 主机 访问 外 部 网 站 与 FTP 3 区 许 网 
DTTP 


图 5-105 新建 协议 


(2) 在 【欢迎 使 用 新 建 协 议定 义 向 导 】 对 话 框 中 将 此 协议 命名 为 HTTP9988 。 

(3) 在 新 建 协 议定 义 向 导 的 【首要 连接 信息 】 对 话 框 中 , 单 击 【 新 建 ] 按 钮 ,在 打开 的 [新 
建 /编辑 协议 连接 对 话 框 中 【协议 类 型 I 下 拉 列 表 框 中 选择 TCP,【 方 向 ] 下 拉 列 表 框 中 选 
择 “ 出 站 ”, 端 口 范 围 的 [从 文本 框 中 和 [到 ] 文 本 框 中 都 输入 9988, 如 图 5-106 所 示 。 完 成 后 


单 击 【确定 ] 按 钮 。 


(4) 在 【辅助 连接 了 对话 框 中 直接 单 击 【[ 下 一 步 ] 按 钮 。 
(5) 在 【正在 完成 新 建 协议 定义 向 导 3 对 话 框 中 单 击 【完成 ] 按 钮 。 
(6) 回 到 [ISA 服务 器 管理 ] 窗 口 ,依次 单 击 [应 用 按钮 工 确定 了 按钮 。 
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完成 新 协议 的 创建 后 ,就 可 以 在 访问 规则 内 选用 此 协议 ,从 用 户 定义 的 协议 中 选择 刚才 
创建 的 新 协议 HTTP9988, 如 图 5-107 所 示 。 


首要 连接 信息 
首要 连接 使 用 了 哪些 端口 号 、 协 议和 方向 ? 
EECETEECSE | 
功放 关 型 B: Ji 可 Wsw: 户 | 


方向 四 ): 出 站 了 


端口 范围 
从 的 ; [9988 到 四 ): EEE] 

国 服务 器 协议 
FICMP 属性 国 所 有 协议 
ICHP 代码 (C): [ ICHP 类 型 QD: [ | 


wl 
< 上 - 步 加 | 下 - 步 加 > 职 滑 | 


| 
图 5-106 新 建 /编辑 协议 连接 图 5-107 【添加 协议 对 话 框 


5.9 开放 或 阻挡 实时 通信 软件 
5.9.1 实时 通信 软件 概述 


常用 的 实时 通信 软件 有 腾讯 QQ ICQ 微软 MSN 和 移动 Fetion 等 ,这 些 实时 通信 软件 
虽然 给 人 们 提供 一 个 非常 方便 的 沟通 方式 ,然而 它们 也 带 来 了 一 些 安 全 上 的 威胁 ,公司 内 部 
的 重要 数据 也 可 能 会 轻易 地 通过 实时 通信 软件 传送 出 去 。 另 外 ,如 果 公 司 内 部 员工 在 上 班 
时 间 利 用 实时 通信 软件 跟 亲 朋 好 友 闲 聊 , 也 会 降低 员工 的 工作 效率 。 

如 果 不 让 这 些 实时 通信 软件 的 流量 通过 ISA Server 防火 墙 , 虽 然 内 部 用 户 就 没有 机 会 
跟 亲 朋 好 友 闲 聊 ,但 同时 也 会 无 法 跟 客户 、 合 作 伙伴 、 供 货 商 等 通过 实时 通信 软件 来 沟通 , 因 
此 应 该 采用 如 下 比较 有 效率 的 管理 措施 。 

(1) 只 针对 公务 上 有 需要 使 用 实时 通信 软件 的 用 户 来 开放 ,例如 需要 跟 客户 沟通 的 业 
务 部 员工 。 

(2) 只 有 特定 时 段 开 放 , 例 如 上 班 时 段 关 闭 ,中 午休 息 与 下 班 时 段 才 开放 。 

ISA Server 2006 默认 并 没有 开放 让 内 部 的 用 户 访问 Internet 的 资源 ,因此 默认 时 所 有 
的 实时 通信 与 P2P 软件 流量 都 无 法 通过 ISA Server 防火 墙 。 因 此 ,为 了 开放 或 阻挡 实时 
通信 与 P2P 软件 通过 ISA Server 防火 墙 ,可 以 通过 在 ISA Server 防火 墙 设置 访问 规则 ( 防 
火 墙 策略 ) ,打开 或 关闭 某 些 特定 端口 来 实现 。 常 用 的 实时 通信 与 P2P 软件 都 有 特定 的 
端口 ,例如 腾讯 QQ 使 用 端口 是 4000、4001 和 8000 ,微软 MSN 使 用 的 端口 1863、80、443 
和 1080。 本 节 以 腾讯 QQ 为 例 说 明 如 何 通过 ISA Server 防火 墙 开放 或 阻挡 实时 通信 和 与 
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5.9.2 开放 或 阻挡 腾讯 QQ 测试 环境 


如 图 5-108 所 示 ,搭建 开放 或 阻挡 腾讯 QQ 通信 的 测试 环境 。 


Web 代 理 客户 端 
IP: 192.168.2.101/24 
默认 网 关 : 192.168.2.200 内 部 网 络 。 ISA Server 防 火 墙 和 CSS 外 部 网 络 
DNS: 不 指定 (Windows Server 2003) 
(Windows XP 专业 版 ) 


IP: 192.168.0.1/24 


SecureNAT 客 户 端 NAT 
IP: 192.168.2.102/24 内 网 卡 和 
认 网 关 : 192.168.2.200 IP: 192.168.2.200/24 IP: 192.168.0.101/24 
DNS: 202.103.225.68 默认 网 卡 ; 不 指定 ”默认 网 卡 : 192.168.0.1 
(Windows XP 专业 版 ) DNS; 不 指定 DNS: 202.103.225.68 


功 人 叶 洁 户 个 >》 
有 03 


网 
/24 


DNS: 不 
(Windows XP 专 业 版 ) 


图 5-108 开放 或 阻挡 腾讯 QQ 测试 环境 


苞 注 意 ; 由 于 腾讯 QQ 通信 的 要 求 ,在 Web 代理 客户 端 和 防火 墙 客户 端的 IP 地 址 
设置 时 需要 给 出 默认 网 关 ( 即 ISA Server 内 网 卡 的 IP 地 址 192. 168. 2. 200)。 


5.9.3 开放 腾讯 QQ 实时 通信 步骤 


1. 为 QQ 使 用 端口 创建 新 协议 


(1) 如 图 5-109 所 示 ,在 KISA 服务 器 管理 窗口 的 右边 选择 【工具 箱 】 选 项 卡 ,选择 【 协 
议 了 新 建 ] 民 协议 了 命令 ,打开 【新 建 协议 定义 向 导 ] 对 话 框 。 

(2) 在 向 导 中 出 现 【欢迎 使 用 新 建 协议 定义 向 导 】 对 话 框 ,在 【协议 定义 名 称 】 文 本 框 中 
输入 新 建 的 协议 的 名 称 为 "QQ 通信 ”, 如 图 5-110 所 示 。 

(3) 单 击 [下 一 步 ] 按 钮 ,出 现 【 首 要 连接 信息 3】 对话 框 , 在 该 对 话 框 中 指定 端口 .协议 以 
及 方向 ,如 图 5-111 所 示 。 

(4) 单 击 【新建 ] 按 钮 ,出 现 【 新 建 / 编 辑 协 议 连 接 】 对 话 框 ,在 【协议 类 型 】 下 拉 列 表 中 选 
择 “UDP”, 在 【方向 】 下 拉 列 表 中 选择 “发送 接 收 ”, 在 【端口 范围 】 文 本 框 中 指定 QQ 协议 所 
使 用 的 端口 范围 为 4000 一 4001, 如 图 5-112 所 示 。 

(5) 单 击 【确定 了 按钮 , 返 加 【首要 连接 信息 对话 框 ,并 且 设 置 QQ 协议 所 使 用 的 另外 一 
个 端口 号 为 8000, 如 图 5-113 所 示 。 
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防火 培 策略 (TSA2006) 


欢迎 使 用 新 建 协 议定 义 向 导 


nn 


协议 定义 名 称 E): 


要 继续 ,请 单 击 “ 下 一 步 ”。 


图 5-110 ”协议 定义 名 称 


EREEE 


图 5-112 添加 4000 到 4001 端口 图 5-113 添加 另 一 个 8000 端口 


(6) 单 击 【 确 定 ] 按 钮 ,返回 [首要 连接 信息 对话 框 ,如 图 5-114 所 示 , 可 以 看 到 已 经 添 
加 的 端口 范围 .协议 类 型 以 及 方向 。 
(7) 单 击 【 下 一 步 3 按 钮 ,出 现 [ 辅 助 连接 对 话 框 ,如 图 5-115 所 示 。 单 击 此 对 话 框 的 
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【下 一 步 ] 按 钮 ,出 现 【 正 在 完成 新 建 协议 定义 向 导 】 对 话 框 , 单 击 【 完 成 ] 按 钮 即 可 。 


到 | 
辅助 连接 
FEEDEEETTI > 六 
TE mes. wi Coley 
个 是 中 
岂 尘 下 
i 
关于 包 妥 新 协 流 的 胡 且 
《上 - 步 @g) 取 测 取 和 
图 5-114 添加 了 端口 后 的 对 话 杠 图 5-115 【辅助 连接 ] 对 话 框 


(8) 返回 [ISA 服务 器 管理 窗口 ,在 【工具 箱 ] 选 项 卡 区 域 的 协议 中 可 看 到 刚 创建 的 协 
议 , 如 图 5-116 所 示 。 


We i cr os of 


文件 至) 操作 () 查看 必 ) 
人 


CUity &。。 配置 存储 服务 器 : Ish2006 防火 培 策 略 CTSA2006) 


| 应 用 | 。 医 草 | 。 要 保存 更 2 并 更 新 配置 ， 单 击 “ 应 用 ”. 
EET OO 


取 A we 人 | 
在 阵列 防火 墙 策略 之 苗 应 用 的 全 业 策略 规则 建 加 编外 世 ) , ， 二 除 加) 
日 加 用 户 定义 习 
I [Ne 
[nl 


防火 墙 策略 规则 


| 
晶 站 阵列 净 放 内 部 到 本 地 主机 的 WetBI05 请 求 。 ”加 区 洋 更 器 本 二 阳 Us 国 身份 验证 
etBIDS 名 称 服务 — 
DyetBios 数据 报 


国 2 阵列 允许 内 部 到 外 部 DNS 请 求 加 4 允 mE 之 内 1 


图 5-116 新 建 [QQ 通信 协议 


[Ew >= 
协议: 


删除 


2. 创建 QQ 通信 的 访问 规则 (防火 墙 策 略 ) 


创建 一 个 名 称 为 “允许 内 部 到 外 部 的 QQ 通信 ”访问 规则 ， 
创建 的 方法 和 步骤 如 5. 3 节 所 述 。 要 注意 的 是 ,在 [添加 协议 】 
对 话 框 中 选择 协议 时 ,应 选择 用 户 定义 的 “QQ 通信 ”协议 ,如 
图 5-117 所 示 ,创建 完成 后 ,可 以 在 [ISA 服务 器 管理 ] 窗 口中 看 
见 此 访问 规则 ,如 图 5-118 所 示 。 


3. 测试 QQ 通信 


在 客户 端 使 用 QQ 登录 ,测试 QQ 是 否 能 正常 通信 。 图 5-117 【添加 协议 ] 对 话 框 


[5 
二 区 


加 op 站 中 DR rr- 


第 5 章 ”ISA Server 2006 的 应 用 配置 


操作 查看 如 帮助 0 


后 | 固 | 四 | 岛国 和 9| 避 守 X # 归 | 四 


防火 培 策略 (TSA2006) 


可 ”mr 。 各 次 由 加 硬 INL mn: 过 7 


图 5-118 【允许 内 部 到 外 部 的 QQ 通信 了 访问 规则 


5.10 涪 题 


. 简 述 ISA Server 2006 的 主要 功能 。 
. 简 述 ISA 中 的 多 网 络 结构 。 
. 简 述 ISA 支持 的 防火 墙 种 类 和 网 络 模板 。 


ISA Server 2006 与 其 他 软件 防火 墙 相 比 ,优势 在 哪里 ? 


. 简 述 使 用 VMware Workstation 构建 虚拟 机 的 步骤 。 

. 简 述 ISA 中 网 络 与 网 络 集 的 含义 。 

. 网 络 规则 和 防火 墙 访问 规则 是 一 样 的 吗 ? 区 别 在 哪里 ? 
. 简 述 安装 ISA Server 2006 的 过 程 。 


.如何 使 用 ISA Server 2006 构建 网 页 缓存 服务 器 ? 


10. 对 比 三 种 ISA Server 客户 端 ,如 何 配置 这 三 种 客户 端 ? 
11. 简 述 在 ISA 防火 墙 中 开放 访问 Internet 的 步骤 。 
12. 简 述 开放 实时 通信 的 步骤 。 


Sl' 
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本 章 学 习 目 标 : 

。 入 侵 检测 系统 模型 及 功能 。 

。 入 侵 检 测 系 统 的 工作 原理 及 分 类 。 
。 常用 入 侵 检 测 技 术 。 

。 入 侵 防御 系统 的 工作 原理 及 分 类 。 
。 防火 墙 .IDS 与 IPS 之 间 的 关系 。 


通常 ,人 们 认为 防火 墙 可 以 保护 处 于 它 身后 的 网 络 不 受 外 界 的 侵袭 和 干扰 。 但 随 着 网 
络 技术 的 发 展 , 网 络 结构 日 趋 复杂 ,传统 防火 墙 在 使 用 的 过 程 中 暴露 出 以 下 的 不 足 和 弱点 : 
入 侵 者 可 以 伪造 数据 绕 过 防火 墙 或 者 找到 防火 墙 中 可 能 敞开 的 后 门 ;防火 墙 不 能 防止 来 自 
网 络 内 部 的 袭击 ,通过 调查 发 现 ,将 近 65% 的 攻击 都 来 自 网 络 内 部 ;传统 防火 墙 不 具备 对 应 
用 层 协议 的 检查 过 滤 功 能 ,无 法 对 Web 攻击 、FTP 攻击 等 做 出 响应 ; 防火墙 对 于 病毒 蠕虫 
的 侵袭 也 是 束手无策 。 

因此 ,人 们 开始 了 对 入 侵 检 测 系统 (Intrusion-detection system,IDS) 的 研究 及 开发 。 
IDS 与 其 他 网 络 安全 技术 的 不 同 之 处 在 于 ,IDS 是 一 种 积极 主动 的 安全 防护 技术 ,是 防火 墙 
的 有 益 补充 ,为 网 络 提供 实时 的 监控 ,并 且 在 发 现 人 侵 的 初期 采取 相应 的 防护 手段 。 

然而 , IDS 只 能 检测 攻击 ,不 能 做 到 实时 地 阻止 攻击 ,入 侵 防 御 系 统 (Intrusion- 
prevention system,IPS) 填 补 了 这 个 不 足 。IPS 是 在 应 用 层 的 内 容 检测 基础 上 加 上 主动 响 
应 和 过 滤 功 能 ,填补 了 网 络 安全 产品 的 基于 内 容 的 安全 检查 的 空白 。 


6.1 入 侵 检 测 系统 概述 


IDS 是 一 种 对 网 络 传输 进行 即时 监视 ,在 发 现 可 疑 传输 时 发 出 警报 或 者 采取 主动 反应 
措施 的 网 络 安全 技术 ,是 进行 人 侵 检测 的 软件 与 硬件 的 组 合 。 我 们 做 一 个 形象 的 比喻 : 假 
如 防火 墙 是 一 峡 大 楼 的 门卫 ,那么 IDS 就 是 这 幢 大 楼 里 的 监视 系统 。 一 旦 非法 人 员 进 入 大 
楼 ,或 内 部 人 员 有 越界 行为 ,只 有 实时 监视 系统 才能 发 现 情况 并 发 出 警告 。 


6.1.1 入 侵 检 测 系统 的 功能 


一 个 成 功 的 IDS 不 但 可 以 使 系统 管理 员 时 刻 了 解 网 络 系统 (包括 程序 ,文件 和 硬件 设 
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备 等 ) 的 任何 变更 ,还 能 给 制定 网 络 安全 策略 提供 指导 。 更 为 重要 的 一 点 是 , 它 应 该 管理 、 配 
置 简单 ,从 而 使 非 专业 人 员 能 非常 容易 地 获得 网 络 安全 。 而 且 , 入 侵 检测 的 规模 还 应 根据 网 
络 威胁 .系统 构造 和 安全 需求 的 改变 而 改变 。IDS 在 发 现 人 侵 后 ,会 及 时 做 出 响应 ,包括 切 
断 网 络 连接 .记录 事件 和 报警 等 。 因 此 ,IDS 通常 具有 以 下 功能 : 

。 监视 用 户 和 系统 的 运行 状况 ,查找 非法 用 户 和 合法 用 户 的 越权 操作 。 
对 系统 的 构造 和 弱点 进行 审计 。 
识别 分 析 著 名 攻击 的 行为 特征 并 报警 。 
对 异常 行为 模式 进行 统计 分 析 。 
评估 重要 系统 和 数据 文件 的 完整 性 。 
对 操作 系统 进行 跟踪 审计 管理 ,并 识别 用 户 违反 安全 策略 的 行为 。 
容错 功能 。 即 使 系统 发 生 骨 溃 , 也 不 会 丢失 数据 ,或 者 系统 重新 启动 时 重建 自己 的 
信息 库 。 


6.1.2 入 侵 检 测 系 统 的 模型 


事件 响应 单元 | 


事件 分 析 器 


为 了 提高 IDS 产品 ` 组 件 及 与 其 他 安全 产品 之 间 的 互 操 作 性 ,美国 国防 高 级 研究 计划 
组 (Internet Engineering TaskForce,IETF) 的 入 侵 

检测 工作 组 (Intrusion Detection working Group， 

IDWG) 发 起 制定 了 一 系列 建议 草案 ,从 体系 结构 、 

API、 通 信 机 制 .语言 格式 等 方面 规范 IDS 的 标准 。 事件 数据 库 
Intrusion Detection Framework, CIDF)。CIDF 提 事件 产生 器 

出 了 一 个 通用 模型 ,将 入 侵 检测 系统 分 为 4 个 基本 图 6-1 CIDF 的 模型 

组 件 : 事件 产生 器 .事件 分 析 器 .事件 响应 单元 和 事 

件数 据 库 , 其 结构 如 图 6-1 所 示 。 

CIDF 将 IDS 需要 分 析 的 数据 统称 为 事件 ,事件 既 可 以 是 网 络 中 的 数据 包 , 也 可 以 是 从 
系统 日 志 或 其 他 途径 得 到 的 信息 。 事 件 产生 器 (Event Generators) 的 任务 是 从 入 侵 检测 系 
统 之 外 的 计算 环境 中 收集 事件 ,并 将 这 些 事件 转换 成 CIDF 的 GIDO(Generalized Intrusion 
Detection Objects, 统 一 入 侵 检测 对 象 ) 格 式 传 送 给 其 他 组 件 。 

事件 分 析 器 (Event Analyzers) 分 析 从 其 他 组 件 收 到 的 GIDO ,并 将 产生 的 新 GIDO 再 
传送 给 其 他 组 件 。 分 析 器 可 以 是 一 个 轮廓 (profile) 描 述 工具 ,统计 性 地 检测 现在 的 事件 是 
否 可 能 与 以 前 某 个 时 间 来 自 同一 个 时 间 序 列 ; 也 可 以 是 一 个 特征 检测 工具 ,用 于 在 一 个 事件 
序列 中 检测 是 否 有 已 知 的 误 用 攻击 特性 。 此 外 ,事件 分 析 器 还 可 以 是 一 个 相关 器 ,观察 事件 


署 (The U. S，Defense Advanced Research Projects Agency, DARPA) 和 互联 网 工程 任务 
DARPA 提出 的 建议 是 公共 入 侵 检测 框架 (Common 

1. 事件 产生 器 

2. 事件 分 析 器 
之 间 的 关系 ,将 有 联系 的 事件 放 在 一 起 ,以 利于 以 后 的 进一步 分 析 。 
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3. 事件 数据 库 
事件 数据 库 (Event Databases) 用 来 存储 GIDO, 以 备 系统 需要 的 时 候 使 用 。 
4. 事件 响应 单元 


事件 响应 单元 (Response Units) 处 理 收 到 的 GIDO, 并 据 此 采取 相应 的 措施 ,如 相关 进 
程 , 将 连接 复位 ,修改 文件 权限 等 。 

在 这 个 模型 中 ,事件 产生 器 .事件 分 析 器 和 响应 单元 通常 以 应 用 程序 的 形式 出 现 ,而 事 
件数 据 库 则 往往 是 文件 或 数据 流 的 方式 。 

以 上 4 个 组 件 只 是 多 辑 实体 ,一 个 组 件 可 能 是 某 台 计算 机 上 的 一 个 进程 甚至 线程 ,也 可 
能 是 多 台 计 算 机 上 的 多 个 进程 ,它们 以 GIDO 格式 进行 数据 转换 。GIDO 是 对 事件 进行 编 
码 的 标准 通用 格式 (由 CIDF 描述 语言 CISL 定义 ),GIDO 数据 流 在 图 中 已 标 出 , 它 可 以 是 
发 生 在 系统 中 的 审计 事件 ,也 可 以 是 对 审计 事件 的 结果 分 析 。 


6.1.3 入 侵 检 测 技术 及 其 发 展 趋势 


1. 入 侵 检测 技术 


入 侵 检 测 技术 是 为 保证 计算 机 网 络 系统 的 安全 而 设计 与 配置 的 一 种 能 够 及 时 发 现 并 报 
告 系 统 中 未 授权 或 异常 现象 的 技术 ,是 一 种 用 于 检测 计算 机 中 违反 安全 策略 行为 (非法 用 户 
的 违规 行为 一 一 入 侵 , 合 法 用 户 的 违规 行为 一 一 滥用 ) 的 技术 。 

从 具体 的 检测 理论 来 看 ,IDS 的 检测 分 析 技 术 主 要 有 误 用 检测 技术 和 异常 检测 技术 两 
大 类 。 大 部 分 现 有 的 入 侵 检 测 工具 都 使 用 误 用 检测 技术 。 异 常 检测 技术 虽然 还 没有 得 到 广 
泛 应 用 ,但 很 多 人 认为 ,异常 检测 在 未 来 的 IDS 中 将 有 很 大 的 发 展 。 

(1) 误 用 检测 技术 。 误 用 检测 技术 应 用 了 系统 缺陷 和 特殊 入 侵 的 累积 知识 ,因此 误 用 
检测 也 称 为 基于 知识 的 检测 技术 或 模式 匹配 检测 技术 。 

误 用 检测 技术 假定 所 有 的 入 侵 行为 和 手段 都 能 够 表达 一 种 模式 或 特征 。 如 果 将 以 往 发 
现 的 所 有 网 络 攻击 的 特征 总 结 出 来 ,并 建立 一 个 人 侵 信息 库 , 则 IDS 可 以 将 当前 捕获 到 的 
网 络 行为 特征 与 人 侵 信息 库 中 的 特征 信息 相 比 较 , 如 果 匹 配 , 则 当前 行为 就 被 认定 是 入 侵 
行为 。 

误 用 检测 技术 具有 检测 准确 度 高 .技术 相对 成 熟 , 便 于 进行 系统 防护 等 优点 ,但 它 也 有 
入 侵 信息 的 收集 和 更 新 困难 、 难 以 检测 本 地 入 侵 和 新 的 入 侵 行为 ,维护 特征 库 的 工作 量 巨 大 
等 缺点 。 误 用 检测 技术 的 实现 主要 有 专家 系统 ,特征 分 析 、 条 件 概 率 、 键 盘 监 控 、 模 型 推理 和 
状态 转换 分 析 等 方法 。 

(2) 异常 检测 技术 。 异 常 检测 技术 又 称 为 基于 行为 的 人 侵 检 测 技术 ,是 指 根据 用 户 的 
行为 和 系统 资源 的 使 用 状况 判断 是 否 存在 人 侵 。 

异常 检测 技术 首先 假定 网 络 攻击 行为 是 不 常见 的 或 异常 的 ,区 别 于 所 有 的 正常 行为 。 
如 果 能 够 为 用 户 和 系统 的 所 有 正常 行为 总 结 活动 规律 并 建立 行为 模型 ,那么 IDS 可 以 将 当 
前 捕获 到 的 网 络 行为 与 行为 模型 进行 比较 , 若 人 侵 行 为 偏离 了 正常 行为 轨迹 ,就 可 以 被 检测 
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出 来 。 

异常 检测 的 优点 是 能 够 检测 出 新 的 入 侵 或 从 未 发 生 过 的 入 侵 ; 对 操作 系统 的 依赖 性 较 
小 ;可 检测 出 属于 滥用 权限 型 的 入 侵 。 其 缺点 是 报警 率 高 和 行为 模型 建立 困难 。 异 常 检 测 
技术 的 实现 主要 有 概率 统计 特征 选 择 、 贝 叶 斯 推理 、 贝 叶 斯 网 络 、 贝 叶 斯 聚 类 、 神 经 网 络 、 模 
式 预 测 ,数据 采 据 和 人 工 免疫 等 方法 。 


2. 入 侵 检 测 技术 的 发 展 趋势 


随 着 Internet 的 发 展 与 广泛 应 用 ,无 论 从 规模 与 方法 上 ,网 络 入 侵 的 手段 与 技术 也 都 有 
了 “进步 与 发 展 "。 入 侵 技术 的 发 展 主要 反映 出 入 侵 的 复杂 化 、 间 接 化 ,规模 的 扩大 化 、 技 术 
的 分 布 化 等 。 根 据 这 些 特点 ,今后 的 入 侵 检 测 技术 大 致 可 向 以 下 几 个 方向 发 展 。 

。 分 布 式 人 侵 检测 : 传统 的 IDS 局 限于 单一 的 主机 或 网 络 架 构 , 对 异 构 系 统 及 大 规模 
的 网 络 检测 明显 不 足 ,不 同 的 IDS 系统 之 间 不 能 协同 工作 。 为 解决 这 一 问题 ,需要 
发 展 分 布 式 入 侵 检 测 技术 与 通用 入 侵 检 测 架 构 。 
智能 化 人 侵 检测 : 即使 用 智能 化 的 方法 与 手段 来 进行 人 侵 检测 。 现 阶段 常用 的 智 
能 化 方法 有 神经 网 络 .遗传 算法 模糊 技术 ,专家 系统 .免疫 原 理 等 ,这 些 方法 常用 于 
入 侵 特 征 的 辨识 。 
全 面 的 安全 防御 方案 : 使 用 安全 工程 风险 管理 的 思想 与 方法 来 处 理 网 络 安全 问题 ， 
从 管理 .网 络 结构 ,加密 通道 .防火 墙 ,病毒 防护 .入 侵 检测 多 方位 地 对 所 关注 的 网 络 
作 全 面 评 估 ,然后 提出 可 行 的 全 面 解决 方案 。 
分 析 技 术 的 改进 : 采用 当前 的 分 析 技 术 和 模型 ,会 产生 大 量 的 误 报 和 漏 报 ,难以 确 
定 真正 的 入侵 行为 。 采 用 协议 分 析 和 行为 分 析 等 新 的 分 析 技 术 后 ,可 极 大 地 提高 检 
测 效率 和 准确 性 ,从 而 对 真正 的 攻击 做 出 反应 。 协 议 分 析 技 术 是 在 对 网 络 数据 流 进 
行 重组 的 基础 上 ,理解 应 用 协议 ,再 利用 模式 匹配 和 统计 分 析 的 技术 来 判明 攻击 ; 行 
为 分 析 技 术 不 仅 分 析 单 次 攻击 事件 ,还 根据 前 后 发 生 的 事件 确认 是 否 有 攻击 发 生 、 
攻击 行为 是 否 生效 ,是 入 侵 检 测 分 析 技 术 的 最 高 境界 。 
向 高 度 可 集成 性 发 展 : 未 来 的 IDS 将 会 结合 其 他 网 络 管理 软件 ,形成 人 侵 检测 、 网 
络 管理 .网 络 监控 三 位 一 体 的 工具 。 


6.1.4 入 侵 检 测 的 流程 


入 侵 检测 系统 的 检测 流程 包括 两 个 步骤 : 信息 收集 和 信息 分 析 。 
1. 信息 收集 


入 侵 检 测 很 大 程度 上 依赖 于 所 收集 信息 的 可 靠 性 和 正确 性 ,因此 ,有 必要 利用 所 掌握 的 
真正 的 和 精确 的 软件 来 报告 这 些 信息 。 因 为 黑客 经 常 采 用 替换 的 方法 以 算 改 这 些 信息 , 例 
如 替换 被 程序 调用 的 子 程序 、 库 和 其 他 工具 。 举 例 来 说 ,UNIX 系统 的 PS 指令 可 以 被 替换 
为 一 个 不 显示 入 侵 过 程 的 指令 ,或 者 是 编辑 器 被 蔡 换 成 一 个 读 取 不 同 于 指定 文件 的 文件 。 
因此 ,需要 保证 用 来 检测 网 络 系统 的 软件 的 完整 性 ,特别 是 入 侵 检测 系统 本 身 应 具有 足够 的 


坚固 性 ,以 防止 被 自 改 而 收集 到 错误 的 信息 。 
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入 侵 检测 利用 的 信息 一 般 来 自 以 下 4 个 方面 。 

(1) 系统 和 网 络 日 志文 件 。 黑 客 经 常 在 系统 日 志文 件 中 留 下 他 们 的 踪迹 ,因此 ,充分 利 
用 系统 和 网 络 日 志文 件 信息 是 检测 入 侵 的 必要 条 件 。 日 志 中 包含 发 生 在 系统 和 网 络 上 的 不 
寻常 和 不 期 望 活动 的 证 据 , 这 些 证 据 可 以 指出 有 人 正在 入 侵 或 已 成 功 人 侵 了 系统 。 通 过 查 
看 日 志文 件 ,能 够 发 现成 功 的 入 侵 或 入 侵 企 图 ,并 可 以 很 快 地 启动 应 急 响 应 程序 。 

(2) 非 正常 的 系统 目录 和 文件 改变 。 网 络 环境 中 的 文件 系统 包含 很 多 软件 和 数据 文 
件 , 包 含 重 要 信息 的 文件 和 私有 数据 文件 经 常 是 黑客 修改 或 破坏 的 目标 。 目 录 和 文件 中 的 
不 期 望 的 改变 (包括 修改 .创建 和 删除 ) ,特别 是 那些 正常 情况 下 限制 访问 的 目录 或 文件 ,很 
可 能 是 一 种 入 侵 产 生 的 指示 和 信号 。 

(3) 非 正 常 的 程序 执行 。 网 络 系 统 上 的 程序 执行 一 般 包 括 操作 系统 、 网 络 服 务 、 用 户 启 
动 的 程序 和 特定 目的 的 应 用 。 每 个 在 系统 上 执行 的 程序 由 一 到 多 个 进程 来 实现 ,每 个 进程 
执行 在 具有 不 同 权限 的 环境 中 ,这 种 环境 控制 着 进程 可 访问 的 系统 资源 、 程 序 和 数据 文件 
等 。 一 个 进程 的 执行 行为 由 它 运行 时 执行 的 操作 来 表现 ,操作 执行 的 方式 不 同 , 它 利用 的 系 
统 资源 也 就 不 同 。 一 个 进程 出 现 了 不 期 望 的 行为 可 能 表明 黑客 正在 人 侵 你 的 系统 。 

(4) 物理 形式 的 入 侵 信息 。 这 包括 两 方面 的 内 容 : 一 是 未 授权 的 网 络 硬件 连接 ;二 是 
对 物理 资源 的 未 授权 访问 。 黑 客 可 以 知道 网 上 由 用 户 添加 的 不 安全 (未 授权 ) 设 备 ,然后 利 
用 这 些 设备 访问 网 络 。 例 如 ,用 户 在 家 里 可 能 安装 Modem 以 访问 远程 办 公 室 ,与 此 同时 黑 
客 正在 利用 自动 工具 来 识别 在 公共 电话 线 上 的 Modem, 如 果 拨 号 访问 的 数据 流 经 过 这 些 自 
动工 具 , 那 么 这 一 拨号 访问 就 成 了 威胁 网 络 安全 的 后 门 , 黑 客 就 会 利用 这 个 后 门 访问 内 部 
网 ,从 而 越过 内 部 网 络 原 有 的 防护 措施 ,然后 捕获 网 络 流量 ,进而 攻击 其 他 系统 ,窃取 敏感 信 
息 等 。 


2. 信息 分 析 


对 上 述 4 类 收集 到 的 有 关系 统 、 网 络 、 数 据 及 用 户 活动 的 状态 和 行为 等 信息 ,一 般 通 过 
3 种 技术 手段 进行 分 析 : 模式 匹配 .统计 分 析 和 完整 性 分 析 。 其 中 前 两 种 方法 用 于 实时 的 
入 侵 检测 ,而 完整 性 分 析 则 用 于 事后 分 析 。 

(1) 模式 匹配 。 模 式 匹 配 就 是 将 收集 到 的 信息 与 已 知 的 网 络 人 侵 和 系统 误 用 模式 数据 
库 进行 比较 ,从 而 发 现 违背 安全 策略 的 行为 。 该 方法 的 一 大 优点 是 只 需 收集 相关 的 数据 集 
合 , 且 技 术 已 相当 成 熟 。 它 与 杀毒 软件 防火墙 采 用 的 方法 一 样 ,检测 准确 率 和 效率 都 相当 
高 。 但 是 ,该 方法 存在 的 弱点 是 需要 不 断 地 升级 以 对 付 不 断 出 现 的 黑客 攻击 手法 ,不 能 检测 
到 从 未 出 现 过 的 黑客 攻击 手段 。 

(2) 统计 分 析 。 统 计 分 析 方 法 首先 给 系统 对 象 (如 用 户 .文件 .目录 和 设备 等 ) 创 建 一 个 
统计 描述 ,统计 正常 使 用 时 的 一 些 测量 属性 (如 访问 次 数 .操作 失败 次 数 和 延 时 等 )。 测 量 属 
性 的 平均 值 将 被 用 来 与 网 络 、 系 统 的 行为 进行 比较 , 当 观 察 值 在 正常 值 范围 之 外 时 ,就 认为 
有 人 侵 行 为 发 生 。 其 优点 是 可 检测 到 未 知 的 入 侵 和 更 为 复杂 的 和 人 侵 ,缺点 是 误 报 、 漏 报 率 
高 , 且 不 适应 用 户 正常 行为 的 突然 改变 。 

(3) 完整 性 分 析 。 完 整 性 分 析 主 要 关注 某 个 文件 或 对 象 是 否 被 更 改 , 包 括 文件 和 目录 
的 内 容 及 属性 , 它 在 发 现 被 更 改 的 、 被 植 人 木马 的 应 用 程序 方面 特别 有 效 。 完 整 性 分 析 利 用 
强 有 力 的 加 密 机 制 (例如 MD5 ) ,因而 它 能 识别 哪怕 是 微小 的 变化 。 其 优点 是 不 管 模式 匹 
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配方 法 和 统计 分 析 方 法 能 否 发 现 入 侵 , 只 要 是 成 功 的 攻击 导致 了 文件 或 其 他 对 象 的 任何 改 
变 , 它 都 能 够 发 现 。 缺点 是 一 般 以 批 处 理 方式 实现 ,不 能 用 于 实时 响应 。 


6.2 入 侵 检 测 系统 的 分 类 


如 果 按 照 检测 对 象 划 分 ,入 侵 检 测 技术 又 可 分 为 基于 主机 的 入 侵 检测 系统 、 基 于 网 络 的 
入 侵 检 测 系统 和 混合 型 人 侵 检 测 系统 3 大 类 。 下 面 分 别 予 以 简单 介绍 。 


6.2.1 基于 主机 的 入 侵 检 测 系统 


基于 主机 的 入侵 检测 系统 (Host Intrusion Detection System, HIDS) 的 输入 数据 来 源 
于 系统 的 审计 日 志 , 即 在 每 个 要 保护 的 主机 上 运行 一 个 代理 程序 ,一 般 只 能 检测 该 主机 上 发 
生 的 入 侵 , 基 于 主机 的 入 侵 检 测 系统 一 般 在 重要 的 系统 服务 器 .工作 站 或 用 户 机 器 上 运行 ， 
监视 操作 系统 或 系统 事件 的 可 疑 活动 ,寻找 潜在 的 可 疑 活动 (如 尝试 登录 失败 )。 此 类 系统 
需要 定义 清楚 哪些 是 不 合法 的 活动 ,然后 把 这 种 安全 策略 转换 成 人 侵 检 测 规则 。 


1. 主机 入 侵 检 测 系统 的 优点 


主机 入侵 检测 系统 对 分 析 * 可 能 的 攻击 行为 "非常 有 用 。 举 例 来 说 ,有 时 候 它 除了 指出 
入 侵 者 试图 执行 一 些 “ 危 险 的 命令 ?之 外 ,还 能 分 辨 出 入 侵 者 干 了 什么 事 、 他 们 运行 了 什么 程 
序 . 打 开 了 哪些 文件 .执行 了 哪些 系统 调用 。 主 机 入 侵 检测 系统 与 网 络 人 侵 检测 系统 相 比 通 
常 能 够 提供 更 详尽 的 相关 信息 , 误 报 率 更 低 。 


2. 主机 入 侵 检 测 系 统 的 弱点 


主机 入 侵 检测 系统 安装 在 需要 保护 的 设备 上 ,全 面部 署 代价 较 大 ,而 且 降 低 了 应 用 系统 
的 效率 。 此 外 , 它 将 本 来 不 允许 安全 管理 员 有 权 访问 的 服务 器 变 成 可 以 访问 。 
主机 入 侵 检 测 系统 的 另 一 个 问题 是 它 依赖 于 服务 器 固有 的 日 志 与 监视 能 力 。 

主机 入 侵 检 测 系统 除了 监测 自身 的 主机 以 外 ,根本 不 监测 网 络 上 的 情况 。 对 入 侵 行为 
的 分 析 工 作 量 将 随 着 主机 数目 增加 而 增加 。 


6.2.2 基于 网 络 的 入 侵 检 测 系统 


基于 网 络 的 入 侵 检 测 系统 (Network Intrusion Detection System,NIDS) 的 输入 数据 来 
源 于 网 络 的 信息 流 ,该 类 系统 一 般 被 动 地 在 网 络 上 监听 整个 网 络 上 的 信息 流 , 通 过 捕获 网 络 
数据 包 ,进行 分 析 ,检测 该 网 段 上 发 生 的 网 络 人 侵 , 如 图 6-2 所 示 。 


计算 机 网 络 系统 安 
网 络 数据 网 络 数据 | ,| 网络 数据 管 
收集 器 收集 器 收集 器 人 员 


图 6-2 ”基于 网 络 的 入 侵 检测 过 程 
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1. 网 络 入 侵 检 测 系统 的 优点 


网 络 入 侵 检 测 系统 能 够 检测 那些 来 自 网 络 的 攻击 ,能 够 检测 到 超过 授权 的 非法 访问 。 

网 络 入侵 检测 系统 不 需要 改变 服务 器 等 主机 的 配置 。 由 于 它 不 会 在 业务 系统 的 主机 中 
安装 额外 的 软件 ,从 而 不 会 影响 系统 的 性 能 。 

由 于 网 络 入侵 检 测 系统 不 像 路 由 器 .防火 墙 等 关键 设备 那样 工作 ,因此 它 不 会 成 为 系统 
中 的 关键 路 径 。 由 于 网 络 人 侵 检测 系统 发 生 故障 不 会 影响 正常 业务 的 运行 ,因此 部 署 一 个 
网 络 人 侵 检 测 系统 的 风险 比 主机 入 侵 检 测 系统 的 风险 少 得 多 。 


2. 网 络 入 侵 检测 系统 的 弱点 


网 络 入 侵 检测 系统 只 检查 它 直接 连接 网 段 的 通信 ,不 能 检测 在 不 同 网 段 的 网 络 包 。 而 
安装 多 台 网 络 入 侵 检测 系统 会 使 成 本 大 大 增加 。 

网 络 入 侵 检测 系统 为 了 提高 性 能 通常 采用 特征 检测 的 方法 , 它 可 以 检测 出 一 些 普通 的 
攻击 ,而 很 难 检测 一 些 复杂 的 需要 大 量 计算 与 分 析 时 间 的 攻击 。 

网 络 人 侵 检测 系统 可 能 会 将 大 量 的 数据 传 回 分 析 系 统 中 ,产生 大 量 的 分 析 数 据 流量 。 


6.2.3 混合 型 入 侵 检 测 系统 


基于 网 络 的 入 侵 检 测 产 品 和 基于 主机 的 入 侵 检测 产品 都 有 不 足 之 处 ,单纯 使 用 其 中 一 
类 产品 会 造成 主动 防御 体系 不 全 面 。 由 于 两 者 的 优 缺 点 可 以 互补 ,如 果 将 它们 无 颖 地 结合 
起 来 部 署 在 网 络 内 , 则 会 构架 成 一 套 完整 的 ,立体 的 主动 防御 体系 。 综 合 了 基于 网 络 的 和 基 
于 主机 的 两 种 结构 特点 的 IDS, 既 可 发 现 网 络 中 的 攻击 信息 ,也 可 从 系统 日 志 中 发 现 异 常 
情况 。 

完美 的 IDS 产品 应 该 将 两 者 结合 起 来 ,一些 高 端的 IDS 产品 都 采用 HIDS 和 NIDS 有 
机 结合 的 混合 型 IDS 架构 。 


6.3 典型 入 侵 检 测 产品 介绍 


6.3.1 人 金 诺 网 安 入 侵 检 测 系统 KIDS 


金 诺 网 安 入 侵 检测 系统 KIDS 是 上 海 金 诺 网 络 安全 技术 股份 有 限 公司 自主 研发 的 人 侵 
检测 系统 ,是 国家 “863” 安 全 应 急 计 划 课 题 的 延伸 和 发 展 。 

金 诺 网 安 入 侵 检测 系统 KIDS 将 主机 入 侵 检 测 和 网 络 入 侵 检测 相 结 合 , 分 别 从 计算 机 
和 网 络 的 各 个 关键 点 收集 违反 安全 策略 的 行为 和 被 攻击 的 迹象 ,并 且 可 以 根据 用 户 的 需要 
实时 报警 和 响应 。 金 诺 网 安 入 侵 检测 系统 既 可 以 防止 来 自 外 网 的 黑客 人 侵 , 也 可 以 制止 来 
自 内 网 的 恶意 行为 . 误 操作 和 资源 滥用 ,提高 了 信息 安全 基础 结构 的 完整 性 。 


1. KIDS 的 模块 组 成 
KIDS 检测 系统 具有 非常 丰富 的 功能 模块 .全面 地 为 和 人 侵 检测 服务 。 
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(1) 管理 中 心 。 作 为 系统 中 心 的 KIDS 管理 中 心 (KIDS Management Center,KMC) 包 
含 大 部 分 的 功能 组 件 : 控制 台 、 事 件 处理 器 、 响 应 器 、 策 略 编辑 器 .数据库 管理 工具 和 报表 分 
析 工 具 等 。KMC 可 以 安装 在 Windows 平台 上 。KMC 的 结构 如 图 6-3 所 示 。 


= 


| 
控制 台 
(KC) 
Ke 事件 处 理 器 响应 器 


(KEP) (KR) 
回 明 
数据 库 管理 工具 报表 分 析 工 具 ”策略 编辑 器 
(KDT) (KRA) (KPE) 


图 6-3 KMC 的 结构 


(2) 控制 台 。 控 制 台 (KIDS Console, KC) 提 供 了 日 常 使 用 的 用 户 界面 ,可 以 管理 各 
组 件 和 监视 警报 及 审计 信息 ,并 可 以 调用 各 类 工具 。KC 包含 数据 库 管理 (KDT) ,报表 
分 析 (KEA) 和 策略 编辑 器 (KPE) 等 工具 。 

(3) 事件 处 理 器 。 事 件 处 理 器 (KIDS Event Processor, KEP) 接 收 来 自传 感 器 的 事件 ， 
根据 策略 记录 到 数据 库 中 ,分 发 到 控制 台 、 分 发 到 上 级 事件 处 理 器 或 分 发 到 响应 器 中 。 

(4) 数据 库 管 理工 具 。 数 据 库 管理 工具 (KIDS Database Tool, KDT) 是 对 KIDS 数据 
库 进行 管理 和 维护 的 主要 工具 ,通过 KDT, 用 户 可 以 实现 对 数据 库 进 行 备份 ,合并 或 删除 等 
具体 操作 。 

(5) 策略 编辑 器 。 策 略 编辑 器 (KIDS Policy Editor, KPE) 是 定义 KIDS 系统 检测 策略 
和 响应 策略 等 内 容 的 功能 组 件 ,策略 编辑 器 会 形成 相应 的 配置 文件 为 系统 调用 。 

(6) 响应 器 。 响 应 器 (KIDS Responder,KR) 主 要 产生 响应 动作 ,如 阻 断 .关闭 系统 和 产 
生 各 类 报警 等 。 

(7) 报表 分 析 工 具 。 报 表 分 析 工 具 (KIDS Reporter and Analyzer,KRA) 是 对 KIDS 数 
据 库 中 的 报警 日 志 进 行 统计 分 析 的 重要 工具 ,可 以 为 用 户 提供 详细 的 明细 报表 和 各 类 图 文 
并 茂 的 统计 报表 ,并 实现 人 侵 分 析 和 对 安全 进行 评估 的 目的 。 


2. KIDS 的 主要 功能 


(1) 识别 各 种 黑客 攻击 或 人 侵 的 方法 和 手段 。 

(2) 监控 内 部 人 员 的 误 操作 资源 滥用 或 恶意 行为 。 

(3) 实时 的 报警 和 响应 ,帮助 用 户 及 时 发 现 并 解决 安全 问题 。 

(4) 核查 系统 漏洞 及 后 门 。 

(5) 协助 管理 员 加 强 网 络 安 全 管理 。 

借助 KIDS 系统 ,网 络 管理 人 员 可 以 随时 了 解 人 们 正在 访问 的 信息 ,并 且 在 有 人 试图 偷 
窥 或 盗 取 敏感 数据 时 及 时 觉察 。 
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6.3.2 华强 IDS 


1. 华强 IDS 组 成 


华强 和 人 侵 检测 系统 是 一 套 基 于 网 络 的 分 布 式 人 侵 检测 系统 ,主要 由 两 个 部 分 组 成 : 响 
应 控制 台 和 探测 引擎 ,是 一 套 软 、 硬 件 结合 的 人 侵 检 测 系统 。 

(1) 探测 引擎 。 探 测 引 擎 是 安装 在 计算 机 局 域 网 上 的 物理 设备 , 它 可 以 同时 监控 两 个 
网 段 , 它 的 主要 功能 是 采集 网 络 上 的 数据 包 信息 ,按照 设 定 的 规则 过 滤 出 相关 的 数据 ,对 于 
入 侵 或 非法 登录 实时 报警 或 切断 ,同时 向 监控 中 心 发 送 报警 信息 。 

探测 引擎 是 华强 入 侵 检测 系统 运行 的 核心 , 它 监听 该 引擎 所 在 的 物理 网 络 上 的 所 有 通 
信 信 息 , 分 析 这 些 网 络 通信 信息 ,将 分 析 结 果 与 探测 引擎 上 运行 的 策略 集 相 匹配 ,依照 匹配 
结果 对 网 络 信息 的 交换 执行 报警 . 阻 断 及 记录 日 志 等 功能 。 同 时 它 还 需要 完成 对 控制 中 心 
指令 的 接收 和 响应 工作 。 

(2) 响应 控制 台 。 控 制 台 是 一 套 运行 于 Windows 系列 操作 系统 上 的 高 性 能 、 智 能 化 
的 管理 系统 ,集中 管理 本 地 或 远程 网 段 的 多 个 探测 引擎 ,以 动态 的 扫描 界面 显示 各 引擎 
所 监控 网 段 内 的 每 台 主机 。 当 发 现 入 侵 行为 时 , 它 以 动态 的 方式 显示 具体 受 入 侵 的 主机 
位 置 ,并 且 详 细 显 示 入 侵 告警 信息 ,包括 源 IP 地址、 端口 ,目的 JP 地 址 和 端口 以 及 攻击 特 
征 等 信息 。 


2. 华强 IDS 的 应 用 


对 于 不 同 的 网 络 结构 和 应 用 目的 ,华强 入侵 检测 系统 的 安装 方式 和 策略 配置 会 有 所 不 
同 。 如 图 6-4 所 示 的 是 该 系统 在 简单 集线器 或 交换 机 网 络 中 的 网 络 拓扑 。 建 议 将 华强 人 侵 
检测 系统 与 防火 墙 配 套 使 用 ,并 结合 网 络 安全 扫描 系统 ,构建 安全 的 、 全 面 的 网 络 拓扑 。 如 
图 6-5 所 示 的 是 华强 入 侵 检 测 系统 在 用 户 中 应 用 的 一 般 网 络 结构 图 。 

从 图 6-4 所 示 的 网 络 结构 中 可 以 看 出 ,在 一 般 的 小 型 网 络 中 ,只 需 部 署 单个 IDS 系统 即 
可 ,因为 整个 网 络 比较 简单 ,检测 策略 都 基本 一 样 。 但 在 比较 复杂 的 大 中 型 企业 网 络 中 ,就 
需要 在 不 同 网 段 或 者 不 同 检测 策略 的 网 段 分 别 部 署 一 套 IDS 系统 ,以 满足 不 同 检测 需求 。 
如 图 6-5 所 示 ,在 分 别 位 于 主 网 络 区 域 , 应 用 服务 器 区 域 和 防火 墙 DMZ 区 域 的 公用 服务 器 
系统 中 肯定 有 不 同 的 检测 策略 ,这 样 就 得 分 别 部 署 配置 不 同 策略 的 IDS 系统 了 。 


| 
华强 IDS 控 制 台 网 上 工作 站 华强 IDS 探 测 引擎 
图 6-4 华强 IDS 的 基本 应 用 网 络 结构 图 
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华 细 IDS 探 测 引擎 
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图 6-5 华强 IDS 应 用 方案 的 一 般 结构 图 


6.3.3 黑 盾 网 络 入 侵 检 测 系 统 


黑 盾 网 络 入 侵 检 测 系统 (HD-NIDS) 是 福建 省 海峡 信息 技术 有 限 公司 自行 研制 开发 的 分 
布 式 网 络 人 侵 检 测 软件 系统 。HD-NIDS 是 采用 国际 上 先进 的 分 布 式 人 侵 检 测 理论 构架 的 高 
智能 分 布 式 入侵 检 测 系统 。 其 强 有 力 的 分 布 式 Agent 分 散在 每 一 个 子 网 的 旁 路 ,全 天 候 24 小 
时 监视 各 个 子 网 络 的 通信 情况 ,及 时 捕获 入 侵 和 攻击 行为 ,并 予以 报警 记录 及 实时 响应 。 

HD-NIDS 代表 着 最 新 一 代 的 网 络 安 全 技术 ,不 仅 具 有 基本 的 入 侵 侦 测 能 力 , 更 拥有 国际 
上 最 先进 的 反 IDS 欺骗 技术 和 反 IDS flood 技术 ,可 以 成 功 地 将 种 种 变形 和 欺骗 一 一 捕获 。 


1. HD-NIDS 的 功能 


HD-NIDS 不 仅 使 系统 管理 员 实 时 了 解 网 络 系统 (包括 程序 .文件 和 硬件 设备 等 ) 的 任 
何 变更 ,还 能 给 网 络 安全 策略 的 制定 提供 依据 。 更 为 重要 的 一 点 是 它 属 于 一 种 动态 安全 技 
术 ( 主 动 防御 ) 范 畴 ,是 一 种 管理 方便 .配置 简单 的 网 络 防御 技术 ,可 以 使 非 专业 人 员 非 常 容 
易 地 掌握 操作 技巧 ,确保 网 络 安全 。HD-NIDS 主要 包括 以 下 功能 模块 。 

。 网 络 实时 检测 功能 : 以 流量 柱状 或 流量 线性 图 表示 网 络 流量 ,协议 流量 ,用户 流量 
和 不 同 包 长 度 的 流量 分 布 。 
内 容 过 滤 功 能 : 用 户 能 够 根据 自 定义 的 关键 字 进 行 告警 . 阻 断 诸如 网 页 .FTP 等 应 
用 中 出 现 的 明文 编码 。 
MAC-IP 绑 定 : 根据 预定 义 好 的 MAC-IP 对 应 列表 ,发 现 非法 使 用 别人 IP 的 用 户 ， 
并 可 以 选择 加 以 阻 断 。 
页 面 重组 功能 : HD-NIDS 可 以 将 信息 网 络 中 的 Telnet、.FTP、HTTP、POP3、SMTP 
或 其 他 用 户 定义 的 任意 服务 的 通信 过 程 记 录 下 来 ,并 将 所 有 数据 内 容 进 行 回放 ,在 
监控 台 实 现 页 面 重组 。 
主机 多 网 卡 配 置 : 在 大 型 网 络 中 主机 多 网 卡 是 相当 常见 的 。 通 常 多 网 卡 的 主机 一 
般 同时 跨 多 个 网 段 。HD-NIDS 利用 独特 的 Spider 技术 ,可 以 同时 监控 多 网 卡 主机 


加 
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所 在 的 多 个 网 段 。 

定义 规则 : 系统 默认 提供 了 上 千 条 最 新 的 黑客 规则 ,并 可 以 对 规则 进行 自动 升级 。 
用 户 可 以 自 定义 或 编辑 规则 ,可 以 决定 是 否 使 用 它 。 

自动 扫描 网 络 状 态 : 可 以 自动 扫描 局 域 网 主机 信息 ,并 将 得 到 的 信息 应 用 到 NIDS 
引擎 中 ,这 样 可 以 防止 黑客 的 无 效 攻击 ,可 以 智能 高 效 地 实现 一 个 安全 网 络 。 
阻 断 功能 : 对 符合 系统 或 用 户 定义 的 黑客 规则 的 数据 包 可 以 进行 阻 断 ;对 某 个 占 网 
络 流量 过 大 的 用 户 可 以 进行 阻 断 ; 对 不 符合 MAC-IP 绑 定 的 数据 包 可 以 进行 阻 断 。 
。 log 查询 功能 : 可 以 使 用 MS SQL Server 或 文本 文件 存放 log ,并 提供 详尽 的 log 查询 。 
。 查询 模块 : HD-NIDS 记录 数据 包 可 以 基于 数据 库 模 块 查询 ,也 可 以 基于 文件 存储 
查询 。 

在 线 升级 功能 : HD-NIDS 及 时 更 新 黑客 人 侵 特 征 库 , 正 式 用 户 能 将 HD-NIDS 在 线 
升级 到 最 新 版 本 。 


2. HD-NIDS 的 网 络 应 用 


在 内 部 网 络 中 各 主机 使 用 共享 式 Hub 连接 到 交换 机 上 ,或 主机 直接 连接 到 交换 机 上 ， 
交换 机 再 通过 路 由 器 接 人 外 部 网 络 。 为 了 使 HD-NIDS 检测 到 受 保护 网 络 (主机 ?的 所 有 通 
信 ,必须 将 HD-NIDS 监控 系统 接 到 交换 机 的 监听 口上 ,也 可 以 把 HD-NIDS 接 到 所 要 监听 
的 网 段 所 在 的 共享 式 集线器 上 。 如 图 6-6 所 示 是 HD-NIDS 的 简单 网 络 应 用 示意 图 。 


黑 盾 网 络 入 侵 监 测 系统 


服务 器 1 服务 器 2 
图 6-6 黑 盾 网 络 和 人 侵 检 测 系统 的 简单 网 络 应 用 示意 图 


HD-NIDS 除了 可 应 用 于 简单 的 内 部 网 络 中 ,还 可 应 用 于 网 络 分 布 较 复 杂 的 环境 中 。 
在 这 种 分 布 式 网 络 环境 中 ,内 部 网 络 中 各 个 部 门 通过 从 交换 机 连接 到 主 交换 机 上 ,再 通过 主 
交换 机 连接 路 由 器 接 入 因特网 或 外 部 网 络 。 


6.4 萨 客 断 入 侵 检 测 系 统 


6.4.1 萨 客 断 入 侵 检 测 系统 介绍 


1. 萨 客 断 入 侵 检 测 系统 概述 


萨 客 晰 入 侵 检 测 系统 是 一 种 积极 主动 的 网 络 安全 防护 工具 ,提供 了 对 内 部 和 外 部 攻 
击 的 实时 保护 , 它 通 过 对 网 络 中 所 有 传输 的 数据 进行 智能 分 析 和 检测 ,从 中 发 现 网 络 或 
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系统 中 是 否 有 违反 安全 策略 的 行为 和 被 攻击 的 迹象 ,在 网 络 系统 受到 危害 之 前 拦截 和 阻 
填 大 侵 ， 

萨 客 晰 和 人 侵 检 测 系统 基于 协议 分 析 , 采 用 了 快速 的 多 模式 匹配 算法 ,能 对 当前 复杂 高 速 
的 网 络 进行 快速 精确 分 析 , 在 网 络 安全 和 网 络 性 能 方面 提供 全 面 和 深入 的 数据 依据 ,是 企 
业 、 政 府 、 学 校 等 网 络 安全 立体 纵深 、 多 层次 防御 的 重要 产品 。 


2. 萨 客 呆 入 侵 检测 系统 主要 功能 


(1) 入 侵 检测 及 防御 功能 。 检 测 用 户 网 络 中 存在 的 黑客 人 侵 、 网 络 资源 滥用 、 蠕 虫 攻 
击 \ 后 门 木马 .ARP 欺骗 .拒绝 服务 攻击 等 各 种 威胁 。 同 时 可 以 根据 策略 配置 主动 切断 危险 
行为 ,对 目标 网 络 进行 保护 。 

(2) 行为 审计 功能 。 对 网 络 中 用 户 的 行为 进行 审计 记录 ,包括 用 户 范围 Web 网 站 , 收 
发 邮件 ,使 用 FTP 传输 文件 ,使 用 MSN .QQ 等 即时 通信 软件 等 行为 ,帮助 管理 员 发 现 潜在 
的 网 络 威胁 。 同 时 对 网 络 中 的 敏感 行为 进行 审计 。 

(3) 流量 统计 功能 。 对 网 络 流量 进行 实时 显示 和 统计 分 析 , 帮 助 用 户 有 效 地 发 现 网 络 
资源 滥用 、 蠕 虫 .拒绝 服务 攻击 ,确保 用 户 网 络 正常 使 用 。 

(4) 策略 自 定义 功能 。 高 级 用 户 可 以 根据 自身 网 络 情况 ,对 检测 规则 进行 定义 ,制定 针 
对 用 户 网 络 的 高 效 策略 ,加 强 入 侵 检测 系统 的 检测 准确 性 。 

(5) 警报 响应 功能 。 对 警报 事件 进行 及 时 响应 ,包括 实时 切断 会 话 连接 、 记 录 日 志 。 

(6) IP 碎片 重组 。 利 用 碎片 穿 透 技术 突破 防火 墙 和 欺骗 IDS 已 经 成 为 黑客 们 常用 的 
手段 , 萨 客 晰 人 侵 检测 系统 能 够 进行 完全 的 IP 碎片 重组 ,发 现 所 有 的 基于 IP 碎片 的 攻击 。 

(7) TCP 状态 跟踪 及 流 重组 。 通 过 对 TCP 协议 状态 的 跟踪 ,能 够 完全 避免 因 单 包 匹配 
造成 的 误 报 。Stick、Snot 等 黑客 工具 通过 发 送 没 有 经 过 三 次 握手 的 TCP 攻击 报 文 触发 大 
量 的 IDS 报警 ,但 这 些 TCP 报 文 并 不 会 真正 对 目标 机 器 产生 实际 的 效果 (通常 是 被 丢弃 )。 
此 时 IDS 产生 大 量 的 警告 就 属于 误 报 。 处 理 不 当 可 能 造成 IDS 系统 瘫痪 。 萨 客 晰 入 侵 检 
测 系统 完全 模仿 受 保护 的 机 器 丢弃 这 些 残缺 报 文 , 极 大 地 减 小 了 误 报 率 。 

采用 类 似 于 Telnet 方式 将 攻击 报 文 拆 成 一 个 个 的 小 报 文 进行 发 送 , 可 以 逃避 基于 单 包 
的 IDS 的 检测 。 萨 客 呈 入 侵 检 测 系统 采用 流 汇 重 组 式 检测 该 类 攻击 手段 。 


6.4.2 萨 客 断 入 侵 检 测 步骤 


实施 萨 客 晰 入 侵 检 测 需要 在 一 台 Windows 2000/XP 的 计算 机 上 安装 萨 客 晰 入 侵 检测 
系统 ,还 需要 在 另 一 台 作为 人 侵 扫 描 用 途 的 计算 机 上 安装 扫描 软件 ,以 便 对 目标 主机 进行 扫 
描 。 详 细 步 骤 如 下 。 


1. 在 192.168.0.21 上 运行 Nmap, 对 目标 主机 (192. 168.0.20) 进 行 扫描 


(1) 在 Command( 命 令 ) 栏 输入 命令 : nmap-sS 192. 168. 0. 20 
扫描 探测 到 目标 主机 上 四 个 开放 端口 21、139、445 和 1110( 图 6-7) 
(2) 在 Command 栏 输入 命令 : nmap-O 192. 168. 0. 20 

扫描 探测 到 目标 主机 的 操作 系统 类 型 ,如 图 6-8 所 示 。 
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Scan Iools Profle Help 


口 全 回 [a 了 加 


New Scan ” Command Wizard ”Save Scan ”Open Scan ，Reportabug Help 


Quick Scan on 192.168.0.20 X 


Target 司 prome: 


Command: |nmap -sS 192.168.0.20 


Hosts |[ Sevices | [Pors/Hosts| Nmap Output |HostDetals | scan petans| 


人 靖国 | starting map 4.68 ( http://onap.org ) ar 2008-10-26 22:50 中 国 
如 ”192168.0.20 | 标准 时 间 
Intereating porta on 192.168.0.20: 
Not shown: 1711 filtered portsa 
PORT ~ STMTE SERVICE 
21/tcp open ftp 
139/tcp open netbios-ssn 
445/tcp open microsoft-ds 
1110/tcp nfsd-status 
0:07:70:9C (Elitegroup Computer Systems Co) 


Nmap done: 1 IP address (1 host up) scanned in 20.088 seconds 


回 Enable Nmap output highlight Preferences 


图 6-7 探测 到 目标 主机 上 四 个 开放 端口 


© Zennap 
Scan Iools Profle Help 

O 回 巴 2 加 
New Scan 。 Command Wizard SaveScan OpenScan ，Reportabug Help 


Operating System Detection on 192168020X | [Erows me apptcaton nelp] 


Target 司 Profile: 


Command: [nmap-0 192.168.0.20 


Hosts |[ Semices |] |Pors/Hosts| Nmap Output |HostDetails| Scan Detaits| 


Not shown: 1711 filtered ports 
li 二 | PoRT SIATE SERVICE 
192.168.0.20 21/tcp open ftp 

139/tcp open netbios-ssn 
445/tcp open microsoft-ds 
1110/tcp open nfsd-status 
MAC Address: 00:1E:90:07:70:9C (Elitegroup Computer Systens 
Co) 
Warning: osscan results may be unreliable because we could 
not find ar least 1 open and 1 closed port 
Device trpe: general purpose 
Running (JUST GUESSING) : Microsoft Windows XP12003 (914) 
Raqressive 0S guesses: Microsoft Windows XP SP2 (914), 
Microsoft Windows XP Professional SP2 or Windows Server 
2003 (85s) 
No exact OS matches for host (test conditions non-ideal). 
Betwork Distance: 1 hop 


0S detection performed. Please report any incorrect results 
at http://nmap.org/submit/ . 
| Eap done: 1 IP address (1 host up) scanned in 25.396 


Enable Nmap outputhighlight [Ereferences 


图 6-8 ”探测 到 目标 主机 的 操作 系统 类 型 
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2. 检测 入 侵 事 件 并 查看 相关 内 容 


在 目标 主机 (192. 168. 1. 20) 上 可 以 检测 到 上 述 入 侵 事件 (图 6-9), 分 别 选择 【统计 信 
息 了 (图 6-10) 【会 话 】 工 日 志 了 选项 ,可 以 查看 相关 内 容 。 


入 侵 术 测 系统 鲜 基 版 
文件 (编辑 (E) ”视图 (W 些 控 (0) ”设置 (5) ”帮助 和 技术 支持 (H) 


00;00:01 (224.0.0.1) 统计 项 目 搓 计 数据 


ho (za9.255.255.z| | 古 的 关 于 放电 gMM% »,,。 
地) O00CF12366.53(192.155.0.21) | 二 常规 入 侵 计数 


:5F (204) UPNP malformed advertisement 
:9C (192.168.0.20) | 二 同 络 入 慷 计数 
家 啊 | 固 - 国 -||oelele 
严重 程度 | 时 间 协议 | 事件 源 
23:59:36 |IP NMAPXMAS 192.168.0.21 |192,168.0,20 
23:59:36 NMAP XMA5 192.168.0.21 |192,168.0,20 
NMAP XMAS 192.168.0.21 192.168.0.20 
NMAP XMAS 192,168,0,21 |192,168.0,20 
SHELLCODE x86 nc ebx NOOP “| 192.168.0.21 192.166.0.20 
SHELLCODE x86 nc ebx NOOP 192,168,0,21 |192,168,0,20 
:33 SHELLCODE x86 nc ebx NOOP “| 192.168.0.21 |192,168,0,20 
23:59:33 SHELLCODE X86 nc ebx NOOP “| 192.168.0.21 “192.168.0.20 
23:59:33 SHELLCODE x86 nc ebx NOOP “| 192.168.0.21 |192,168.0,20 


开始 本 2008-10-26 23:51:49 
持续 时 间 0 天 00:46:44 
捕获 的 数据 包 57360 


I@GOOOPEEEPE 


NUM 


图 6-9 查看 入 侵 事件 


多 5sxII 入 侵 检 测 系统 鲜 估 版 ) 
文件 (E) ”编辑 (E) 视图 (W) 监控 (0) ”设置 (5) 帮助 和 技术 支持 (H) 


房 遇 四 | 到 加 
打开 保存 | 开放 停止 ， 适 配器 选项 
运行 状态 统计 信息 [会话 [入 侵 事件 | 日 志 
[re 国 - | 记录 米 | 53 

半 | 2000-10-26 23:,.，| | 对于 项 四 统计 数据 | 
持续 时 间 0 天 00:37:16 二 煞 笑 外 统计 本 | 
<=64 1,319 MB 
65-127 926.579KB| | 
128-255 207.678 KB 
256-511 1004.021 KB 
S512-1023 1,790 MB 
1024-1517 18,201 MB 
>=1518 08 

二 Tc 连接 计数 
初始 化 的 TCP 连 接 18327 

1314 


图 6-10 查看 统计 信息 


3. 导出 记录 


检测 结果 可 以 通过 【文件 MA【 导 出 3 命令 ,保存 为 三 种 类 型 的 文件 (图 6-11)。 单 击 【[ 下 一 


S3 
(177 
SO/ 
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步 3 按 钮 ,选择 需要 导出 的 记录 项 目 , 单 击 【完成 3 按钮 , 即 可 完成 记录 的 导出 。 


选择 文件 类 型 


ext Files etzt 一 
HIML Files (#. html) 
Excel Files 人 .xls) 


图 6-11 【选择 文件 类 型 对 话 框 


4. 入 侵 规则 设置 


选择 [设置 M【 入 侵 规 则 设置 命令 可 以 对 各 种 入 侵 行为 进行 规则 定义 或 编辑 (图 6-12) , 便 
于 系统 检测 到 各 种 入 侵 行为 时 做 出 不 同 的 反应 。 


例 入 侵 六 MI 本 


第 规 入 侵 | 网 络 入侵 | 入 侵 服 务 | 网 络 病毒 | CGI 入 侵 | 敏感 内 容 | 自 定 义 
二 增加 规则 名 者 ]n 达 项 局 阳 上 用 日 | 国 | 上 
|[ 卫 改 次 下 规则 名 称 ” ”| 协议 | 搜索 内 容 ”| 大 小 写 或 二 入 检测 数据 | 啊 应 方式 ”| 限 断 方式 ”| 警 洛 .，| 规 则 描述 
0 UPNPLocationoverfiow UDP |odliocationj33| 是 才 户 病 ”记录 日 志 并 阴 断 全 发 送 主机 不 可 达 IC 重要 
IP2 202,101,143,0-202,255,255,255;10.0.0.0-10.0.0.255 
PORT2 1900 
DOS RFPoison I5c005c002AC 否 客户 六 记录 日 志 并 阴 断 人 复位 发 送 端 重要 
IP2 202,101,143,0-202,255,255,255;10,0.0,0-10.0.0.255 
PORT2 139 
FLAG5 At 
RFParalyze Attempt yep yep 要 客户 编 记录 日 志 并 阻 断 全 复位 发 送 端 
IJP2 202.101.143.0-202.255.255.255;10.0.0.0-10.0.0.255 
PORT2 139 
FLAGS At 
SME C$ access lsclc$l00413aC 理 客户 端 记录 日 志 并 阴 断 全 复位 发 送 端 
Ip2 202.101.143,0-202,255.255.255;10,0.0,0-10.0.0.255 
PORT2 139 
FLAG5 At 
SMB CD.., Wwlo00000| 井 客户 请 记录 日 志 并 阻 断 全 复位 发 送 端 
Jp2 202.101.143.0-202,255.255.255;10.0.0.0-10.0.0.255 
PORT2 139 
FLAGS A 
SMB IPC$access WPc4lool 理 客户 端 记录 日 志 并 阻 断 台 复位 发 送 端 
TP2 202.101.143.0-202.255.255.255i10.0.0.0-10.0.0.255 
PORTZ 139 
FLAGS At 
Samba chentaccess 1oolunixloolsamt 否 客户 请 记录 日 志 并 了 断 全 复位 发 送 端 
202.101.143.0-202.255.255.255;10.0.0.0-10.0.0.255 
四 


图 6-12 【入 侵 规 则 设置 ] 对 话 框 
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6.5 ” Snort 入侵 检 测 系 统 
6.5.1 Snort 介绍 


1. Snort 概述 


Snort 是 一 款 免费 .开源 的 网 络 人 侵 检测 系统 (Network Intrusion Detection System， 
NIDS) ,具有 小 巧 灵 便 、 易 于 配置 .检测 效率 高 等 特性 , 常 被 称 为 轻 量 级 的 IDS。Snort 具有 
实时 数据 流量 分 析 和 IP 数据 包 日 志 分 析 能 力 ,具有 跨 平台 特征 ,能 够 进行 协议 分 析 和 对 内 
容 的 搜索 或 匹配 。Snort 能 够 检测 不 同 的 攻击 行为 ,如 缓冲 区 溢出 、 端 口 扫 描 和 拒绝 服务 攻 
击 等 ,并 进行 实时 报警 。Snort 遵循 通用 公共 许可 证 GPL, 只 要 遵守 GPL 的 任何 组 织 和 个 
人 都 可 以 自由 使 用 。 

Snort 可 以 根据 用 户 事先 定义 的 一 些 规则 分 析 网 络 数据 流 , 并 根据 检测 结果 采取 一 定 
的 行动 。Snort 有 3 种 工作 模式 , 即 嗅 探 器 .数据 包 记 录 器 和 NIDS。 嗅 探 器 模式 仅 从 网 络 
上 读 取 数据 包 并 作为 连续 不 断 的 数据 流 显示 在 终端 上 ;数据 包 记录 器 模式 把 数据 包 记 录 到 
硬盘 上 ,以 备 分 析 之 用 ;NIDS 模式 功能 强大 ,可 以 通过 配置 实现 。 


2. Snort 体系 结构 


Snort 的 结构 由 以 下 四 大 软件 模块 组 成 。 

(1) 数据 包 嗅 探 模块 。 数 据 包 嗅 探 模块 是 一 个 并 联 在 网 络 中 的 设备 (可 以 是 硬件 ,也 可 
以 是 软件 ) , 它 的 工作 原理 和 电话 窃听 很 相似 ,不 同 的 只 是 电话 窃听 的 是 语音 网 络 ,而 数据 包 
嗅 探 的 是 数据 网 。 数 据 包 嗅 探 模块 主要 功能 为 : 网 络 分 析 和 网 络 故障 查找 ;网 络 性 能 和 负 
荷 量 分 析 ; 监 听 明 文 传输 的 用 户 名 密码 等 敏感 数据 。 作 为 嗅 探 器 ,Snort 能 够 把 捕获 的 数据 
包 保存 起 来 并 可 在 事后 查看 。 

(2) 预 处 理 模块 。 预 处 理 模块 用 相应 的 插件 (例如 RPC 插件 和 端口 扫描 插件 ) 检 查 原 
始 数据 包 , 从 中 发 现 这 些 数 据 的 “行为 "一 一 原始 数据 包 的 应 用 层 表现 是 什么 。 数 据 包 经 过 
预 处 理 后 才 传 到 检测 引擎 。 

(3) 检测 引擎 模块 。 检 测 引擎 模块 是 Snort 的 核心 模块 。 当 数据 包 从 预 处 理 器 送 过 来 
后 ,检测 引擎 依据 预先 设置 的 规则 检查 数据 包 , 一 旦 发 现 数据 包 中 的 内 容 和 某 条 规则 相 匹 
配 ,就 通知 报警 模块 。 

(4) 报警 /日 志 模 块 。 经 检测 引擎 检查 后 的 Snort 数据 需要 以 某 种 方式 输出 。 如 果 检 
测 引 擎 中 的 某 条 规则 被 匹配 , 则 会 触发 一 条 报警 ,这 条 报警 信息 会 通过 网 络 `UNIXSocket、 
Windows Popup(SMB) SNMP 协议 的 Trap 命令 传送 给 日 志文 件 , 甚 至 可 以 将 报警 传送 给 
第 三 方 插件 (如 SnortSam)。 另 外 ,报警 信息 也 可 以 记 入 SQL 数据 库 , 如 MySQL 或 
Postgres 等 。 

Snort 体系 结构 如 图 6-13 所 示 。 


数据 包 
[一 >| Sniffer| 预 处 理 器 | 检测 引擎 | 报警 /日 志 


图 6-13 Snort 体系 结构 


6.5.2 部署 Snort 入 侵 检 测 系 统 


部 署 Snort 入 侵 检测 系统 所 需 软件 如 下 。 

(1) Apache(Windows 版 本 的 apache Web 服务 器 ) 

下 载 地 址 : http://www. apache. org 

(2) Acid( 基 于 PHP 的 入 侵 检测 数据 库 分 析 控 制 台 ) 

下 载 地 址 : http://www. cert. org/kb/acid 

(3) Adodb(Adodb( Active Data Objects Data Base) 库 for PHP) 

下 载 地 址 : http://jaist. dl. sourceforge. net/sourceforge/adodb/ 
adodb504. tgz 

(4) JPGraph(PHP 下 面 的 图 形 库 ) 

下 载 地 址 : http://www. aditus. nu/jpgraph 

(5) MySQL(Windows 版 本 的 MySQL 数据 库 服务 器 ) 

下 载 地 址 : http://www. mysql. com/ 

(6) PHP(Windows 版 本 的 PHP 脚本 环境 支持 ) 

下 载 地 址 : http://www. php. net/ 

(7) Snort( 在 Windows 平台 下 的 snort 安装 包 ,Linux 平台 的 
到 官网 下 载 ) 

下 载 地 址 : http://www. snort. org/ 

(8) Winpcap(Windows 版 本 的 PCAP, 网 络 数据 包 截取 驱动 
程序 ) 

下 载 地 址 : http://winpcap. polito. it/ 

(9) Snortrules(Snort 检测 规则 库 ) 

到 官方 网 站 下 载 ,需要 注册 用 户 。 

也 有 不 需 注册 的 版 本 ,下 载 地 址 : http://www. snort org/pub- 
bin/ downloads. cgi 

官方 下 载 地 址 : http://www. snort. org/pub-bin/downloads. 
cgi/ Download/ vrt_pr/ snortrules-pr-2. 4. tar. gz 

(10) php5apache2. dll-php5. 1. x. zip( 用 于 在 Apache 下 正常 
显示 的 PHP 补丁 ) 

下 载 地 址 : http://www. php. net 

部 署 并 使 用 Snort 人 侵 检测 系统 需要 经 过 如 图 6-14 所 示 
步 又。 


网 络 安 全 技术 案例 教程 < 


安装 和 配置 Apache 


安装 和 配置 PHP 


外 


安装 Winpcap 
安装 Snort 
安装 和 配置 MySQL 


创建 Snort 数 据 库 的 表 


qq 


qaqaq 


加 入 PHP 对 MySQL 的 支持 


号 


湛 
二 
立 
EF 


全 


慌 
认 
= 
写 
所 
站 
写 
Es 


GE 


安装 Acid 


加 


在 浏览 器 中 初始 化 
Acid 数 据 库 


安装 Snort 规 则 库 


修改 Snort 配 置 文件 


Ee 


Windows 平 台 下 Snort 
的 使 用 


查看 统计 数据 


6-14 部署 Snort 入 侵 
检测 系统 步骤 
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Snort 人 侵 检 测 系 统 建议 部 署 在 Windows Server 2003 的 计算 机 中 。 详 细 操 作 步 又 


如 下 。 
1. 安装 和 配置 Apache 


(1) 按 默认 选项 进行 安装 。 


当 出 现 Server Information( 服 务 器 信息 ) 对 话 框 时 , 填 人 相 


关 信 息 , 如 图 6-15 所 示 。 然 后 依次 按 提示 单 击 Next 按钮 , 当 出 现 Destination Folder( 目 标 
文件 夹 ) 页 面 时 ,可 单 击 Change( 改 变 ) 按 钮 , 设 定安 装 路 径 , 如 图 6-16 所 示 。 其 余 按 默 认 选 
7 所 示 页 面 , 按 Esc 键 跳 过 即 可 。 


Apeche WIP Sorver 2.2 Tastslletion Tir Ed| 


项 安装 即 可 。 安 装 过 程 可 能 会 出 现 如 图 6 


全 Apache ITTP Server 2.2 ~ Tnstall odion 二 El 


Server Information 


Please enter your serversiniormation， 


Nekwork Doman (e.g someret,com) 
KeachooL.com 


Server Name (e.g, WwW somenet com) 
[Www.2003EDul.com 


Administrator's Emall Address (e.g, webmasterthsomenet,com): 
Jagnesguim126,com 


Instal Apache HTTP Server 2.2 programs and shortcutsfor 


For Al Users, on Port 90, as a Service ~ Recommended. 
only for the Current User, on Port B080, when started Manually, 


cme 


Destination Folder 


Chck Change to nstal to a different folder 


Instal Apache HTTP Server 2,2 to the folder; 
盏 | CApachez.2\ 


<Back Next > Cancel 


图 6-15 ”Server Information 对 话 框 


图 6-16 


Destination Folder 页 面 


图 6-17 


提示 页 面 


(2) 修改 C:\Apache2. 2\conf 文件 夹 中 的 httpd. conf 文件 ,如 图 6-18 所 示 ,将 监听 端 


口 80 改 为 8008 。 


(3) 重新 启动 计算 机 ,在 IE 浏览 器 的 地 址 栏 输入 : http: 


如 图 6-19 所 示 界 面 , 则 说 明 Apache 软件 安装 成 功 了 。 


localhost:8008/ ,如 果 出 现 
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Be 
文件 四 编辑 下 ) 格式 0) 查看 WD 帮助 中 

拓 directive. 

吕 


# Change this to Listen on specific IP addresses as shown below to .| 
# prevent hpache from glomning onto all bound IP addresses (8.9.9-9) 

吕 

Listen 12.34.56.78:88 


isten 8998| 


Dynamic Shared Object (DS0) Support 


# To be able to use the functionality of a module which was built as 
# have to place corresponding “LoadHodule* lines at this location so 
# directives contained in it are actually available before_ they are 
# Statically conpiled modules (those listed by “httpd -1") do not nee 
# to be loaded here. 


日 
Example: 


图 6-18 httpd. conf 文件 内 容 


http://localhost:8008/ - Wicrosoft Iatesaat EARL 
文件 全 ) 编辑 人 E) | 查看 W) 收 蕊 人) 工具 GD) 帮助 QD 
她 十 @@) 乱 ] http://1ocahest:6008/ EIDESILE 


It works! 


图 6-19 http://localhost 页 面 


2. 安装 和 配置 PHP 


(1) 解压 缩 php-5. 1. 6-Win32. zip 到 C:\php 文件 夹 。 

(2) 将 C:\php 文 件 夹 中 的 php5ts. dll 文件 复制 到 C:\Windows\system32 文件 夹 , 将 
php. ini-dist 文件 复制 到 C:\Windows, 并 重 命 名 为 php. ini。 

(3) 修改 C:\Apache2. 2\conf 文件 夹 中 的 httpd. conf 文件 ,在 图 6-20 处 添加 如 下 语 
句 : Loadmodule php5_module C: \php\php5apache2. dll。 

在 如 图 6-21 处 添加 如 下 语句 : Addtype application/x-httpd-php . php( 注 意 空 格 ) 。 

(4) 安装 PHP 补丁 php5apache2. dll-php5. 1. x. zip 

@ 解压 缩 php5apache2. dll-php5. 1. x. zip 到 C:\ php5apache2. dll-php5. 1. x 文件 夹 。 

@ 将 php5apache2. dll-php5. 1. x 文件 夹 中 httpd. exe. manifest 文件 复制 到 C:\ 
Apache2. 2\bin 文件 夹 。 

@ 将 php5apache2. dll-php5. 1. x 文件 夹 中 php5apache2. dll 文件 复制 到 C:;\php 文件 
夹 , 覆 盖 原 文件 。 

@ 双击 php5apache2. dll-php5. 1. x 文件 夹 中 vcredist_x86. exe 文件 进行 安装 。 
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医 httpa_ conf - 记事 本 
文件 全 ) 外) 格式 0) 查看 WD 帮助 四 

LoadModule proxy_connect_nodule nodules/nod_proxy_connect.so 
Loadhodule proxy_http_nodule nodules/nod_ proxy_http.so 
LoadModule proxy_ftp_nodule nodules/nod_proxy_Ftp.so 
LoadModule negotiation_nodule nodules/nod_negotiation.so 
LoadModule rewrite_module nodules/nod_rewrite.so 

LoadModule setenvif_nodule nodules/nod_setenvif.so 
8LoadModule speling nodule nodules/nod_speling.so 
8LoadModule status_module nodules/mod_ status.so 

.oadModule unique_id_nodule nodules/nod_unique_id.so 
LoadModule userdir_nodule nodules/nod userdir.so 

LoadModule usertrack_nodule nodules/nod_usertrack.so 
HLoadhodule vhost_alias_ nodule nodules/mod_vhost alias.so 
HoadModule ssl nodule nodules/nod ss1.so 

Loadhodule phps_nodule C:/php/php5apache2.d11 


“Main’ server configuration 
和 
# The directives in this section set up the values used by the ‘nain” 


文件 中 编辑 E) 格式 吕 ) 查看 WD | 帮助 人 D 


HAddEncoding x-compress .2 
HAddEncoding x-gzip .gz .tgz 
提 


# If the hddEncoding directives above are connented-out, then yot 
# probably should define those extensions to indicate media types 
提 


AddType application/x-conpress .2 


中 

# AddHandler allows you to map certain file extensions to “handle 
# actions unrelated to filetype. These can be either built into t 

# or added with the Action directive (see below) 到 | 
排 

# To use CGI scripts outside of Scripthliased directories: 

# (You will also need to add “ExecCGI"” to the “0ptions” directive 


图 6-21 httpd. conf 文件 内 容 ( 二 ) 


(5) 添加 apache 对 GD 库 的 支持 
| 修改 C:\Windows 文件 夹 中 的 php. ini 文件 ,删除 extension 王 php_gd2. dll 语句 前 
的 分 号 (图 6-22)。 


村 php. ini - 记事 
文件 下) 编辑 他) 格式 中 查看 WD 帮助 只 


Windows Extensions 

Note that ODBC support is built in, so no dll is needed for it. 
Note that many DLL files are located in the extensions/ (PHP 4) ext/ 
extension folders as well as the separate PECL DLL download (PHP 5). 
Be sure to appropriately set the extension_dir directive. 


;extension=php_nbstring.d1l 
;extension=php_bz2.d11 
;extension=php_curl.d11 


;extension=php_imap -dll 
;extension=php_interbase.d11 


图 6-22 php 文 件 内 容 
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@ 将 C: \php\ext 文件 夹 中 的 php_gd2. dll 文件 复 制 到 C:\Windows 文件 夹 。 

(6) 测试 PHP 安装 是 否 成 功 

在 C:\apache\htdocs 文件 夹 中 新 建 test. php 文件 ,用 记事 本 打开 ,编辑 内 容 为 
=<? phpinfo () ;? >。 

@ 重新 启动 Apache 服务 ( 先 选择 Stop 选项 ,再 选择 Start 选项 ) ,如 图 6-23 和 图 6-24 


所 示 。 
Btart 
Restart 


图 6-23 选择 Stop 选项 图 6-24 选择 Start 选项 


图 在 IE 浏览 器 的 地 址 栏 输入 : http://lcoalhost:8008/test. php 测试 是 否 安装 成 功 ， 
成 功 的 界面 如 图 6-25 所 示 。 


机 -日 四 向 | 万 拉 环 下 本 天 扣 | 0 总 是 
[7 三 KCZZTRTRTTTTTTTTTT EIDESIL 


图 6-25 ”http://lcoalhost:8008/test. php 测试 页 面 


3. 安装 Winpcap 
采取 默认 值 即 可 。 
4. 安装 Snort 


指定 路 径 为 C:\Snort, 其 余 情 况 采 取 默 认 值 即 可 。 
在 命令 行 方式 下 输入 如 下 命令 : 
C:\Snort\bin> snort-W 


如 果 安 装 成 功 ,系统 将 显示 出 如 图 6-26 所 示 信 息 。 
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rt>cd bin 


nortsbinysnort 


Interface e Description 
1 \Device\NPF_( DialupAdapter Ada for generic dialup and UPN 
ice\NPF_《67DA845P-8BFC-4F7E-B4C1-8B7AFFACCF9F} re Accelerated| 


《FS5C51DB3-76 67-RRR6--EB385SER1B216》《U ncceleratedl 


图 6-26 snort-W 页 面 


5. 安装 和 配置 MySQL 


在 不 特别 注 明 的 情况 下 , 按 默认 选项 安装 

(1) 当 安 装 进行 到 出 现 Setup Type( 安 装 类 型 ) 对 话 框 时 ,选择 Custom( 习 惯 ) 单 选 按 
钮 , 单 击 Next 按钮 。 

(2) 指定 安装 路 径 为 C:\MySQL 

(3) 当 安 装 进行 到 出 现 MySQL Server Instance Configuration(MySQL 服务 器 实例 配 
置 ) 的 Please select a configuration type( 请 选择 一 个 配置 类 型 ) 对 话 框 时 ,选择 Standard 
Configuration( 标 准 配 置 ) 单 选 按 钮 , 单 击 Next 按钮 

(4) 当 安 装 进行 到 出 现 MySQL Server Instance Configuration 的 Please set the 
security options( 请 设置 安全 选项 ) 对 话 框 时 ,请 设置 登录 密码 (图 6-27) , 单 击 Next 按钮 。 

(5) 当 安 装 进 行 到 出 现 MySQL Server Instance Configuration 的 Ready to execute... 
(准备 执行 ) 对 话 框 时 , 单 击 Execute 按钮 执行 (图 6-28)。 最 后 单 击 Finish 按钮 完成 多 


[ays9L Server Instance Configuration 有 ER ES| ysor Server Instance Conficaration Wi Ed| 
My5QL Server Instance Configuration MySQL Server Instance Configuration 
Configure the My5QL Server 5.0 server instance. Configure the MySQL Server 5.0 serverinstance， 
Please set the securlty options, Ready to execute ,, 


KS Modify Security Settings 


3 Prepare confguabon 
New root password: Enter the root password, 人 
D We configuration fle 
过 


Retype the password. i 


厂 Enable root access from remote machines D happy securty setungs 
Please press [Execute] to start the configuration. 


厂 Create An Anonymaus Account 


This option wl create an anonymous account on this server. Please 
noke that this can lead to an insecure system, 


< Back Next > Cancal 


图 6-27 Please set the security options 对 话 框 8 ”Ready to execute... 对 话 框 
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6. 创建 Snort 数据 库 的 表 


将 C:\Snort\schames 文件 夹 中 的 create_mysql 文件 复制 到 C:\MySQLAbin 文件 夹 。 
执行 MySQL 客户 端 ( 图 6-29) ,在 打开 的 MySQL Command Line Client(MySQL 的 命 


令 行 客户 端 ) 对 话 框 中 输入 密码 ,并 依次 执行 如 下 命令 (图 6-30)。 
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mysql> Create database snort; 

mysql> Create database snort archive; 

mysql> Use snort; 

mysql> Source create mysql; 

mysql> Use snort archive; 

mysql> Source create mysql; 

mysql> Grant all on* .* to"root"@ "localhost"; 


> windows Catalog 


动 Windows Update 


- E20 
| 动 交 四 + 回 局 动 
清 Internet Explorer 
[ee 许昌 罗 outlook Express 


广 拉 来 加 ， 这 远程 协助 
回 hpsche NTTP Server 2.2.3 » 
她 WH in 


加 运行 @).. 


回 六 vw. 


» 
» My: ver 5. "~ MySQL Command L 
上 TO 

© wsqL Server Instance Config Wirard 


Windows Server 2003 Enterprise Edition 


图 6-29 执行 MySQL 客户 端 


图 6-30 ”MySQL Command Line Client 对 话 框 


7. 加 入 PHP 对 MySQL 的 支持 


(1) 修改 C:\Windows\php. ini 文件 ,去 掉 extension 王 php_mysql. dll 前 的 分 号 (图 6-31) 。 
(2) 将 C:\php\ext 文件 夹 下 的 php_mysql. dll 文件 复制 到 C:\Windows 文件 夹 。 
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a 
文件 EF) 编辑 区) 格式 0) 查看 ”帮助 0D 

;extension=php_imap.d1l 

;extension=php_interbase -dl11 

;extension=php_ldap -d11 

;extension=php_ncrypt -dl11 


p_openssl -dl11 
;extension=php_oracle -dl11 


图 6-31 php. ini 内 容 
(3) 将 C:N\php 文件 夹 下 的 libmysql. dll 文件 复制 到 C:\Windows\system32 下 。 
8. 安装 Adodb 
解压 缩 Adodb 到 C:\php\adodb 文件 夹 。 
9. 安装 JPGraph 
解压 缩 JPGraph 到 C:\php\jpgraph 文件 夹 。 
10. 安装 Acid 


(1) 解压 缩 Acid 到 C:\apache2. 2\htdocs\acid 文件 来。 修改 acid 文件 夹 中 的 acid_ 
conf. php 文件 的 以 下 语句 为 正确 的 路 径 ( 图 6-32 和 图 6-33) 。 


外 。 
文件 到 ) 编辑 到) 格式 中 ) 查看 帮助 0 文件 四) 编辑 到 ) 格式 @) 查看 Q) 帮助 0 
Speed of record deletion, but also slow record 
. insertion. 
wa/ 
Suse_referential_integrity = 08; 


SDBlib path = “c:\php\adodb"; /= Path to the graphing library 
* (Note: DO NOT include a trailing backslash after the 


ee The type of underlying alert database aa/ 
四 


* MySQL 3 “mysql” 
* PostgressQl : “postgres” 


六 py 二 
图 6-32 acid_conf. php 内 容 ( 一 ) 图 6-33 acid_conf. php 内 容 (二 ) 


$ DBlib path="c:\php\adodb"; 
$ ChartLib path="c:\php\jpgraph\src"; 


(2) 确保 acid_conf. php 相关 语句 为 下 列 的 值 。 


$ alert dbname ="snort™"; 

$ alert host ="localhost"; 
$ alert port ="3306"; 

$ alert user ="root"; 
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$alert password ="123456"; 


$archive dbname ="snort archive"; 
$ archive host ="localhost"; 

$ archive port ="3306"; 

$ archive user ="root"™; 


$ archive password ="123456"; 
(3) 重新 启动 Apache 和 MySQL 服务 。 
1. 在 浏览 器 中 初始 化 Acid 数据 库 


在 I 正 浏览 器 的 地 址 栏 输入 : http://localhost:8008/acid/acid_db_setup. php, 如 果 配 
置 正确 ,会 出 现 如 图 6-34 所 示 页 面 。 单 击 Create ACID AG 按钮 ,让 系统 自动 在 MySQL 中 
建立 Acid 运行 必须 的 数据 库 , 出 现 如 图 6-35 所 示 页 面 则 表示 成 功 。 


ACID: DB Setup - Nicrosoft Internet Erplorer 


文件 四 ”编辑 查看 W) 收藏 和 ) 工具 和 助 
日 恨 -日 "四 加 多 | 记 扫 六 收 Vk 杞 | 三 - 吕 蕊 


| 于 证 加 | 几 wo maoeakesteoeyseidysidat st  。 司 | 固 对 | 赎 访 四 | 
NS Home 
2b D B Setu p Search AG Maintenance 


[Back] 


ACID tables Adds tables to extend the Snort DB to support the Create ACID AG 


ACID functionality 
Search (Optional) Adds indexes to the Snort DB to optimize = DONE 
Indexes the speed of the queries 


[Loaded in 1 seconds] 


到 
EE EE 用 


图 6-34 ACID DB Setup 页 面 


于 ACID: DB Setup - Microsoft Internet ExpLorer 


文件 全 编辑 人 E) 查看 WW 收藏 A) 工具 YI) 帮助 和 0 


ORR -OBB PMR Hum |O- 
地址 0 | 禄 http://1ocalhost:8008/acid/acid_db_setup_ php SDE 


“co DB Setup a 


[Back] 


Successfully created ‘acid_ag’ 
Successfully created scid_ag_alert' 
Successfully created acid_ip_cache' 


Successfully created acid_event' 


sd| 


SE SEE 殉 


图 6-35 。 Successfully created... 页 面 
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12. 安装 Snort 规则 库 
解压 缩 rules 到 C:\Snort\rules 文件 夹 。 
13. 修改 Snort 配置 文件 


用 写字 板 打 开 C:\Snort\etc 文件 夹 中 的 snort. conf 文件 。 

(1) 设置 Snort 的 内 部 网 络 和 外 部 网 络 检测 范围 。 将 snort. conf 文件 中 的 var 
HOME _ NET any 语句 中 的 any 改 为 自己 所 在 的 子 网 地 址 ,即将 Snort 监测 的 内 部 网 络 设置 为 
本 机 所 在 的 局 域 网 。 如 本 地 IP 为 192. 168. 3. 23 , 则 将 any 改 为 192. 168. 3. 0/24( 图 6-36) 。 


L3 
站 MAKE SURE YOU DON"T PLACE ANY SPACES IN YOUR LISTY 
L3 


# or you can specify the variable to be any IP address 
# like this: 


#4 Set up the external network addresses as well. Af good start may b 
var EXTERNRL_NET any 


# Configure your server lists. This allows snort to only look for a 

## systems that have a service up. Why look for HTTP attacks if you 

## running a web server? This allows quick filtering based on IP add, 
也 吏 


图 6-36 ”snort. conf 配置 文件 内 容 ( 一 ) 


(2) 配置 网 段 内 提供 网 络 服务 的 IP 地 址 ,只 需要 把 默认 的 $HOME NET 改 成 对 应 主 
机 地 址 即 可 : 

Var DNS_SERVERS $ HOME NET 

Var SMTP_SERVERS $ HOME NET 

Var HTTP_SERVERS $ HOME NET 

Var SQL SERVERS $ HOME NET 

Var TELNET SERVERS $ HOME NET 

Var SNMP_ SERVERS $ HOME NET 


如 果 不 需要 监视 某 种 类 型 的 服务 ,可 以 用 站 号 将 上 述 语句 注释 掉 。 
区 注意 : 由 于 该 实验 中 提供 上 述 网 络 服务 的 计算 机 就 是 本 机 ,因此 不 用 更 改 。 
(3) 修改 设置 监测 包含 的 规则 。 在 配置 文件 末尾 ,定义 了 与 规则 相关 的 配置 ,格式 如 下 : 


include $ RULE PATH/local. rules 
include $ RULE PATH/bad- traffic. rules 
include $ RULE PATH/exploit. rules 


其 中 ,变量 $RULE_PATH 指明 了 规则 文件 存放 的 路 径 ,可 以 在 语句 var 
RULEPATH.../rules 中 将 变量 RULE_PATH 改 为 存放 规则 集 的 目录 ,如 C:\Snort\rules。 
(4) 修改 配置 文件 Classification. conf 和 Reference. conf 的 路 径 : 


Include C:\Snort\etc\classification.config 


网 络 安全 技术 案例 教程 


Include C:\Snort\etc\reference. config 


其 中 ,Classification. conf 文件 保存 的 是 和 规则 的 警报 级 别 相 关 的 配置 ,Reference. conf 


文件 保存 了 提供 更 多 警报 相关 信息 的 链接 。 


(5) 修改 各 文件 路 径 如 下 。 


dynamicengine/usr/1local/1ib/snort dynamicengine/1ibsf engine.so 改 为 :dynamicengine C:\Snort\lib 
\snort dynamicengine\sf engine.d1l 

dynamicpreprocessor directory/usr/local/1ib/snort_dynamicpreprocessor/ 改 为 : dynam- 
icpreprocessor directory C:\Snort\lib\snort dynamicpreprocessor/ 

# dynamicpreprocessor file< full path to libsf dcerpc preproc.so> 改 为 :dynamicpreprocessor file C:\ 
Snort\lib\snort_dynamicpreprocessor\sf dcerpc.dl1 

# dynamiapreprocessor file< full path to libsf ftptelnet preproc.so> 改 为 :dynamiqpreprocessor file C:\ 
Snort\lib\snort. dynamiqpreprooessor\sf ftptelnet.dl1 

# dynamicpreprocessor file< full path to libsf dns preproc.so> 改 为 :dynamicpreprocessor file C:\ 
Snort\lib\snort _ dynamicpreprocessor\Nsf dns.dll 

# dynamicpreprocessor file< full path to 1libsf _ smtp _preproc.so> 改 为 :dynamicpreprocessor file C:\ 
Snort\lib\snort dynamicpreprocessor\sf smtp.dl1 

# dynamicpreprocessor file< full path to libsf _ssh preproc.so> 改 为 :dynamicpreprocessor file C:\ 
Snort\lib\snort_ dynamicpreprocessor\Nsf ssh.dll 

include classification. config 改 为 : include C:\snort\etc\classification. config include 
reference.config 改 为 :include C:\snort\etc\reference.config 


(6) 设置 Snort 输出 alert 到 MySQL Server, 增 加 如 下 两 行 语句 (图 6-37 和 图 6-38) , 


用 snort. conf - 记事 本 
文件 于) 编 缉 企 ) | 格式 0) 查看 名 帮助 0 


中 

## output database: 10g, mysql, user=root password=test dbnane=db host=localhost 
# output database: alert, postgresql, user=snort dbnane-snort 

## output database: 10g, odbc, user=snort dbnane=snort 

# output database: 10g, mssql, dbnane=snort user=snort password=test 


output database: alert, mysql, user=root password=123456 dbnane=snort host=localhost port 


以 
# The unified output plug: s two new formats for logging and generating 
# alerts From Snort, the “unified”fornat- The unified fornat is a straight 


图 6-37 ”snort. conf 配置 文件 内 容 ( 二 ) 


traffic on the ports that you intend to inspect SSL 
encrypted traffic on- 


To add reassembly on port 443 to Strean5, use ‘port both 443° in the 
Streans configuration. 


lpreprocessor ss1: noinspect encrypted 


# Step #4: Configure output plugins 
持 


# Unconnent and configure the output plugins you decide to use. General 
# configuration for output plugins is of the form: 


图 6-38 ”snort conf 配置 文件 内 容 ( 三 ) 


= [|) 
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output database: alert, mysql, user=root password= 123456 dbname= snort host= localhost encoding 
=hex detail=full 
dynamicpreprocessor file C:\Snort\lib\snort dynamicpreprocessor\sf ssl.dll 


(7) 保存 snort. conf 文件 。 
14. Windows 平台 下 Snort 的 使 用 
在 命令 行 方式 下 输入 如 下 命令 : 


C:\>set pcap frames=max 
C:\>cd\snort\bin 
C:\snort\bin> snort-W 


匿 注 意 : 每 次 重新 启动 Snort, 都 要 按 类 似 上 述 方式 正确 输入 set pcap_frames 一 max 语 
向 ,否则 执行 上 述 的 第 2、3 条 语句 后 会 出 现 Not Using PCAP_FRAMES 错误 提示 。 按 上 述 
方式 启动 Snort 后 ,如 果 出 现 using PCAP_FRAMES 提示 , 则 说 明 一 切 配置 正常 。 
(1) Snort 嗅 探 器 模式 。 在 命令 行 方 式 下 输入 如 下 命令 
C:\snort\bin> snort-v- i2 
使 Snort 只 将 IP 和 TCP/UDP/ICMP 
的 包头 信息 输出 到 屏幕 上 (图 6-39)。 如 果 要 
看 到 应 用 层 的 数据 ,可 以 输入 如 下 命令 : 
C:\snort\bin> snort-v-d- i2 
如 果 需 要 输出 更 详细 的 信息 ,输入 命令 
C:\snort\bin> snort-v-d-e- i2 
可 以 显示 数据 链 路 层 的 信息 。 
(2) 数据 包 记 录 器 模式 。 上 面 的 命令 只 
是 在 屏幕 上 输出 ,如果 要 记录 在 Log 文件 上 ， 
需要 预先 建立 一 个 Log 目录 。 输 入 下 面 的 命 
令 启用 数据 包 记录 器 模式 ， 


图 6-39 Snort 的 嗅 探 器 模式 


C:\Snort\bin> snort- dve- i2-1 C:\Snort\log-h 192.168.3.0/24-K ascii 


其 中 ,一 1 选项 指定 存放 日 志 的 文件 夹 ;一 h 指定 目标 主机 ,这 里 检测 对 象 是 局 域 网 段 内 
的 所 有 主机 ,如 不 指定 一 h, 则 默认 检 wi 一 K 指定 了 记录 的 格式 ,默认 是 Tcpdump 格 


式 ,此 处 使 用 ASCII 码 ( 结 果 如 图 6-40 所 示 )。 在 命令 行 窗口 运行 了 该 指令 后 ,将 打开 保存 
日 志 的 目录 。 


在 Log 目录 下 自动 生成 了 多 个 文件 夹 ,文件 夹 是 以 数据 包 目 标 主机 的 卫 牛 妊 全 帮 
的 (图 6-41) ,每 个 文件 夹 下 记录 的 日 志 就 是 和 该 外 部 主机 相关 的 网 络 流量 。 打 开 其 中 任 一 
使 用 记事 本 查看 日 志文 件 , 会 发 现 文件 的 内 容 和 嗅 探 器 模式 下 的 屏幕 输出 类 似 ( 见 图 6-42) 。 
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=|Dx| 
文件 四。 久 罗 FE) 查看 四 收 春节 工具 四 天助 四 六 
口 E - 避 -了 | 万 撞 二 文 f 夹 | 记忆 勾 加 | 加 | 
[TITJETISTTYTT EBED 
i i 
3 1 本 导轨 寻 生 6 
ET 
A IL:128 I0S:BxB 
a1 "gn et 10 99 at 8 90 60 90 68 68 29 4 Eg 
寻 4 44 全 EPEOCACACACACAC 
80 99 28 ACACACACACABN 
图 6-40 ”Snort 数据 包 记 录 器 模式 图 6-41 Snort 数据 包 记录 器 模式 记录 的 日 志 


目 wr_137-137. ids - 写字 板 =I9|x| 
文件 中) 福 弓 丰 ) 查看 0) 插入 GD， 格式 @) 帮助 0 


Dlsla| Sl)| 二 | 草本 全 | 二 | S| 


81:FD -》FF:FF:FF 
:137 UDP TTL:128 Ti 


习 


F:FF type: Ox800 lens 0x5C 
Ox0 ID:2040 IpLen:20 DenLen 


Len: 50 

81 8B O01 10 00 0! 00 00 00 00 00 00 20 45 42 46 
45 45 46 45 4F 43 41 43 41 43 41 43 41 43 41 43 EEFEC 
41 43 41 43 41 43 41 43 41 43 41 42 4D 00 00 20 ACACACA 
00 01 a 


和 


和 


B1:FD -> FF:FF:FF: 
137 UDP TTL:128 T 


F:FF type: Ox800 len:0x5C 
Ox0 ID:2041 IpLen:20 DenLen 


45 45 46 45 4F 43 41 43 41 43 4l 43 41 43 41 43 EEFEOCAC 
41 43 41 43 41 43 41 43 41 43 41 42 4D 00 00 20 ACACACAC 
00 01 


加 
要 “帮助 ”， 请 按 了 


图 6-42 日 志文 件 


(3) 网 络 IDS 模式 。Snort 最 重要 的 用 途 还 是 作为 基于 误 用 检测 技术 的 NIDS。 下 面 
将 通过 对 运行 了 Snort 的 目标 主机 进行 有 意 攻击 ,来 观察 Snort 检测 入 侵 的 能 力 。 首 先 ,向 
目标 主机 发 送 ICMP 长 数据 包 来 观测 Snort 的 反映 ,ICMP 长 数据 包 是 有 潜在 危险 的 ,一 般 
会 被 视 为 入 侵 ;然后 ,使 用 网 络 端口 扫描 工具 Nmap 对 目标 主机 进行 扫描 ,观察 Snort 的 检 
测 情况 。 具 体操 作 步 骤 如 下 : 

@ 打开 C:\Snort\rules 文件 夹 中 的 Icmp. rules 文件 ,增加 如 下 一 条 规则 ,该 规则 用 于 
检测 ICMP 长 数据 包 ( 图 6-43) : 

alert icmp $ EXTERNAL NET any ->$ HOME NET any (msg:"ICMP Large ICMP Packet";dsize:> 800; 

reference:arachnids, 246;classtype:bad- unknown;sid:499;rev:4;) 

@ 打开 C:\Snort\rules 文件 夹 中 的 scan. rules 文件 ,将 下 列 规则 前 面 的 “#” 号 删除 ， 
该 规则 用 于 检测 SCAN 扫描 (图 6-44)。 


alert tcp $ EXTERNAL NET any ->$ HOME NET any (msg:"SCAN XMAS";flow:stateless;flags:SRAFPU, 
12;reference:arachnids, 144;classtype:attempted- recon;sid:625;rev:7;) 
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罩 icp. rule: 板 
文件 编辑 和 E) | 查看 W 插入 CI) 格式 0) 帮助 名 


OD|B| 昌 | 虽 区 | 鸭 | ¥| 虹 | 钳 |=| 名 | 


# Other ICHP rules are included in icmp-info.rules 


alert 


icmp $EXTERNAL_NET any 


$EXTERNAL_NET 
alert icmp $EXTERNAL_NET any -> $HOME_NET 
alert icnp $EXTERNAL_NET any -> $HOME_NET 
alert icnp $EXTERNAL_NET any -> $HOME_NET 
alert icnp $EXTERNAL_NET any -> $HOME_NET 
alert icnp $EXTERNAL_NET any -> $HOME_NET 
alert icmp $EXTERNAL_NET any -> $HOME_NET 
alert icmp $EXTERNAL_NET any -> $HOME_NET 
alert icnp $EXTERNAL_NET any -> $HOME_NET 
alert icnp $EXTERNAL_NET any -> $HOME_NET 
alert icnp $EXTERNAL_NET any -> $HOME_NET 
alert icnp $EXTERNAL_NET any -> $HOME_NET 
alert icnp $EXTERNAL_NET any -> $HOME_NET 


L3retriever Ping 
ICIP Nenesis vl.1 Echo"; ， 
ICIP PING WMAP”: dsize:0: 
ICIP icmpenun v1.1.1"; ds: 
ICIP redirect host"; icod 
ICIP redirect net“; icode 
ICIP superscan echo”; dsi: 
ICIP traceroute ipopts”; : 
ICMNP webtrends scarmer”: 

ICHP Source Quench"; icod 
ICIP Broadscan Smurf Scary 
ICIP PING speedera”; ityp' 
ICIP TJPingProl. 1Build 2 7 


要 “帮助 ”， 请 按 Fl 


图 6-43 


目 scan rale 字 板 -lolx| 
文件 全 编辑 下 ) 查看 插入 CI) 格式 @Q) 帮助 00 


DBIg| alR| | |®|@|s| | 


# alert tcp $EXTERNAL NET any -> $HOME_NET any (nsg:"SCAN ipEye SYN scan”; f1 尼 
# alert tcp $EXTERNAL_NET any -> $HOME_NET "SCAN NULL”; flow:statele: 
# alert “SCAN SYN FIN”; flow 


# alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"SCAN synscan portscan”; ; 
alert tcp $EXTERNAL_NET $HOME_NET any (msg:"SCAN cybercop os PAl2 attel 
alert tcp $EXTERNAL_NET $HOME_NET any (msg:"SCAN cybercop os SFU12 prol 
alert udp $EXTERNAL_NET $HOME_NET 10080:10081 (msg:"SCAN Ananda client- 
alert udp $EXTERNAL_NET 
alert udp $EXTERNAL_NET 
alert udp $EXTERNAL_NET 
alert tcp $EXTERNAL_NET 


$HOME_NET 22 (nsg:“SCAN SSH Version map attenp’ 
# alert udp $EXTERNAL_NET any -> $HOME_NET 1900 (nsg:"SCAN UPrP service disco' 
alert icnp $EXTERNAL_NET any -> $HOME_NET any (nsg:"SCAN SolarWinds IP scan a 
alert tcp $EXTERNAL_NET any -> $HITP_SERVERS $HITP_PORTS (nsg:"SCAN cybercop ， 
alert tcp $EXTERNAL_NET any -> $HOME_NET 5000 (nsg:"SCAN UPnP service discove: 


图 6-44 SCAN 扫描 对 应 的 检测 规则 


@ 输入 下 面 的 命令 启动 IDS 模式 : 


IDS 与 IPS 


C:\Snort\bin> snort- i2- dev-1../log-h 192.168.3.0/24-K ascii- c C: /Snort/etc/snort.conf 


相 比 数据 包 记 录 器 模式 中 使 用 的 命令 ,该 命令 只 增加 了 一 个 选项 一 c, 用 于 告诉 Snort 
使 用 Snort. conf 中 的 规则 集 文件 。Snort 会 对 每 个 包 和 规则 集 进 行 匹配 ,如 符合 规则 ,就 采 
取 规 则 所 指定 的 动作 。 
@ 在 局 域 网 的 另 一 台 主 机 (192. 168. 3. 26) 上 向 目标 主机 发 送 数 据 包 ,输入 下 面 的 


公 
六 


C:\>ping -1 65423 192.168.0.20 


加) 
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@ 目标 主机 中 可 以 检测 到 这 次 探测 的 数据 包 ( 图 6-45)。 在 目标 主机 中 打开 Log 文件 
夹 , 此 时 可 以 发 现在 Log 的 根 目录 下 自动 生成 了 一 个 名 为 Alert 的 文件 。 使 用 写字 板 打 开 
该 文件 并 观察 其 内 容 ( 图 6-46)。Snort 警报 中 记录 了 刚才 发 送 的 ICMP 长 数据 包 , 其 中 每 
条 记录 包括 警报 的 类 型 和 数据 包 的 包头 。 发 送 的 ICMP 长 数据 包 之 所 以 出 现在 警报 中 ,是 
因为 它 的 特征 和 Snort 预先 定义 的 规则 相符 。 


ghijklnnopqrst 
fghijklm 


6D 6E 6F 


bcdef ghijklmnopq 

rstuvwabcdefghij 

klnnopqrst 

def ghijklm 
ghijkl 


图 6-45 检测 到 探测 的 数据 包 


6 可 
文件 时) 编辑 到 ) 查看 WW) 插入 CI) 格式 @) 帮助 0D 


口 | 他 | 加 | 虽 |[ 熙 | 十 | % | 名 | 多 | 二 | 名] 

yy lM Large TU Facket Lv 可 
[Classification: Potentially Bad Traffic] [Priority: 2] 

07/22-00:14:07,079848 0:C:29:ED:81:FD ->》0:C:29:35:55:Ad type:0x800 len; 0xFFC2 

192. 168. 3 -> 192. 168. 3. ICMP TTL:128 TOS:0x0 ID:974 IpLen:20 DgnLen:65460 

Type:0 Code:0 ID:512 Seq:2560 ECHO REPLY 

[Xref => http://www. whitehats. com/ info/IDS246] 


[x#] [1:499:4] ICIP Large ICMP Packet [*#] 

[Classification: Potentially Bad Traffic] [Priority: 2] 

07/22-00:14:09. 581191 0:C:29:35:55:&4 -> 0:C:29:ED:81:FD type:0x800 len:0xFFC2 
192. 168. 3. 26 -> 192. 168. 3. 23 ICIP TTL:128 T0S:0x0 ID:16343 IpLen:20 DenLen:65460 
Type:8 Code:0 ID:512 Seq:2816 ECHO 

[Xref => http://www. whitehats. con/ info/IDS246] 


[x*] [1:499:4] ICIP Large ICHP Packet [**] 

[Classification: Potentially Bad Traffic] [Priority: 2] 

07/22-! 9. 582941 0:C:29:ED:81:FD -> 0: 35:55:A4 type:0x800 len:0xFFC2 
192. 168. -》192. 168. 3. ICMP TIL:128 TOS:0x0 ID:975 IpLen:20 DgnLen: 65460 
Type:0 Code:0 ID:512 Seq:2816 ECHO REPLY 

[Xref => http://www. whitehats. com/ info/IDS246] 


要 “帮助 ”， 请 按 FL hm Li 


图 6-46 ”Snort 记录 的 ICMP 警报 


@ 执行 端口 扫描 的 检测 。 把 Snort. conf 文件 中 相应 端口 配置 部 分 的 内 容 修改 为 如 
图 6-47 所 示 的 值 。 其 中 proto 指定 要 检测 的 协议 类 型 ,包括 TCP .UDP ICMP 和 IP， 
all 表示 检测 所 有 的 协议 ;sense_level 指定 检测 的 灵敏 度 , 灵 敏 度 高 可 以 增加 检测 率 , 但 有 可 
能 会 同时 增加 误 报 率 ,Snort 的 默认 选项 是 Low;1logfile 指定 检测 结果 的 输出 文件 名 ( 设 文 
件 名 为 outscan) ,该 文件 将 创建 在 Log 目录 下 。 

@ 在 局 域 网 的 另 一 台 主 机 (192. 168. 3. 26) 上 安装 并 运行 Nmap, 对 目标 主 
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机 (192. 168. 3. 23) 进 行 扫描 ,探测 到 了 多 个 开放 端口 (图 6-48)。 


rE E| ，” 可 辆 | 


PE re 


BE | 
编辑 下) 格式 0) 查看 WD 下 助人 只 05 4 | Hest ‘| i 
false alerts, especially under heavy 10ad with droppeaj 机 ”192.168323 


lerts ‘PORT SrarE SERYICE 
the option is ofF by default- Mtcp 。 open echo 


gtep 。 men diacard 
aecp 
ayeee 
19jecp 
hzreep 
53/tcp 
a0/top 
125/tep 
和 Experinental mp detection code From JeFF Nathan, detects 局 peer 
# unicast ARP requests, and specific ARP mapping monitoring. 中 
i this preprocessor you must specify the IP and hardware addh ea pen 
i the sane layer 2 segnent as you. Specify one host IP HAC ¢ 1039 /tep open 
i Also takes a “-unicast” option to turn on unicast ARP reque 1041/tep open 


4# Arpspoof uses Generator ID 112 and uses the following SIDS Priv sp 
到 ‘a008/tcp open vonown 
了 ne Me 0 0: ar yewers) 司 
图 6-47 配置 Snort 的 端口 扫描 选项 图 6-48 对 运行 Snort 的 主机 进行 端口 扫描 


@ 在 目标 主机 上 查看 记录 端口 扫描 检测 结果 的 文件 outscan( 图 6-49)。 可 以 看 出 ,Snort 
准确 地 识别 并 分 析 记 录 了 端口 扫描 攻击 相关 的 信息 ,如 攻击 者 的 IP 地 址 是 192. 168. 3. 26， 
扫描 的 范围 从 21 号 端口 到 32780 号 端口 。 

@ 打开 Alarm 文件 (图 6-50) ,发 现在 Alarm 文件 里 增加 了 与 端口 扫描 相关 的 警告 。 
Alarm 文件 中 记录 的 是 单个 数据 包 和 规则 匹配 的 结果 。 


目 .1 
可 对 ETECTT En EECIEETTEITITI 


-= 加 芭 d| 


文件 下) 蝙 恒 邓 ) 查看 WD 插入 区 ) 略 式 @) 帮助 0) 


13] SHIP haentX/tep reqaest Is 
teapted Irfornation Leak] es 2 
1:FD type:0x800 len:Ox3C 
+39 Tos: Ox0 ID:36031 IpLen:20 Di 
Win: Oel000 TepLen 24 


Tine: 07/22-13:20:59. 286363 

event_ref: 0 

192. 168. 3. 26 -> 192.168.3.23 (portscan) TCP Portscan 
Priority Count: 12 

Commection Count: 15 

IP count: 1 

Scanner IP Range: 192.168.3.26:192.168.3.26 
Port/Proto Count: 15 

Port/Proto Range: 21:32780 


tps//cve nitre, ore/cgi-bin/ovenane. ceionane=2002-0013] [Kref =》 Ht 


13] SIP request tcp [ee] 
+t on Leak] [Priority: 2] 

4 -> 0:C:29:ED:81:FD type:0x800 len:Ox3C 

3151 CP TTL:50 Tos:0x0 ID:d1001 IpLent20 D, 
ix0 Win: OxcO0 TcFLens 24 


要 “帮助 ”， 请 按 Fl 


图 6-49 Snort 端口 扫描 检测 结果 图 6-50 Snort 对 端口 扫描 攻击 的 警报 


15. 查看 统计 数据 


在 IE 浏览 器 的 地 址 栏 输入 : http://localhost:8008/acid/acid_main. php ,可 以 查看 统 
计数 据 (图 6-51) 。 


6.6 入 侵 防 御 系 统 概述 


随 着 网 络 攻击 技术 的 不 断 提 高 和 网 络 安全 漏洞 的 不 断 发 现 , 人 们 也 逐渐 意识 到 IDS 所 
面临 的 问题 : IDS 系统 在 识别 大 规模 的 组 合式 、 分 布 式 的 入 侵 攻击 方面 ,还 没有 较 好 的 方法 
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Analysis Console for Intrusion Databases 


Added 3 alert(s) to the Alert cache 


Queried on : Wed July 29, 2009 08:58:52 
Database: snori@localhost3306 «(schema version: 0) 
Time window: [2009.07-22 12:41:11] - [2009.07-29 16:48:45] 


Sensors: 1 Traffic Profile by Protocol 
Unique Alerts: 5 TCP 400 
Total Number of Alerts: 10 


» Source IP addresses: 2 
。 Dest. IP addresses: 2 
。 Unique IP links 3 


» Source Ports: 4 
© TCP (4) UDP (0) |Portscan Traffic 四 对 
» Dest. Ports: 2 
o TCP (2) UDP (0) 


国 
= BBEEES = 
图 6-51 统计 数据 


和 成 熟 的 解决 方案 , 误 报 与 漏 报 现象 严重 ,用 户 往往 淹没 在 海量 的 报警 信息 中 ,而 漏 掉 真正 
的 报警 ;此 外 ,IDS 只 能 报警 而 不 能 有 效 采 取 阻 断 措施 的 设计 理念 ,也 不 能 满足 用 户 对 网 络 
安全 日 益 增 长 的 需求 。 

《信息 周刊 研究 部 和 国际 商业 机 器 公司 (IBM) 合 作 进 行 了 2008 年 “中 国信 息 安全 调 
查 ”,63. 9% 的 企业 表示 : 通常 都 是 在 系统 资源 无 法 正常 运行 和 服务 ,声誉 和 资产 都 遭 到 损 
失 时 , 才 得 知 受到 攻击 。 安 永 会 计 师 事务 所 上 海 分 所 科技 与 信息 安全 咨询 服务 部 合伙 人 阮 
祺 康 讲述 了 这 样 一 个 案例 : 黑客 对 某 大 型 零售 商 的 交易 系统 不 断 进 行 攻击 ,然而 该 公司 始 
终 没有 发 现 黑客 人 侵 的 迹象 ,最 终 导 致 数 千 万 顾客 的 信用 卡 和 借 记 卡 信息 泄露 ,累计 损失 达 
到 了 数 百 万 美元 。 

由 此 可 见 , 从 被 动 防御 到 主动 防御 ,正成 为 企业 当前 面临 的 新 考验 。 入 侵 防 御 系 
统 (Intrusion-prevention system,IPS) 正 是 一 种 主动 .机智 的 防御 系统 , 它 的 拦截 行为 与 其 
分 析 行 为 处 在 同一 层次 ,能 够 更 敏锐 地 捕 提 入侵 的 流量 ,并 能 将 危害 切断 在 发 生 之 前 。 


6.6.1 入 侵 防 御 系统 的 特征 


IPS 具有 以 下 四 大 特征 。 
1. 以 戏 入 模式 运行 


只 有 以 嵌入 模式 运行 的 IPS 产品 才能 够 实现 实时 的 安全 防护 ,实时 阻拦 所 有 可 疑 的 数 
据 包 ,并 对 该 数据 流 的 剩余 部 分 进行 拦截 。 
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2. 深入 分 析 能 力 


IPS 具有 深入 分 析 能 力 , 以 确定 哪些 恶意 流量 已 经 被 拦截 ,根据 攻击 类 型 .策略 等 来 确 
定 哪 些 流量 应 该 被 拦截 。 


3. 高 质量 的 攻击 行为 特征 库 
IPS 要 依靠 各 种 攻击 行为 特征 来 对 数据 包 分 类 和 过 滤 , 所 以 高 质量 的 攻击 行为 特征 库 
是 IPS 高 效 运行 的 必要 条 件 ,IPS 还 应 该 定期 升级 攻击 行为 特征 库 , 并 快速 应 用 到 所 有 传 感 


器 。 但 是 就 目前 来 看 , 绝 大 多 数 IPS 产品 在 这 方面 做 得 还 不 够 ,存在 许多 误 报 行为 ,造成 日 
志 记 录 过 多 ,影响 IPS 产品 性 能 的 正常 发 挥 。 同 时 也 增加 了 网 络 管 理 员 的 管理 负担 。 


4. 高 效 的 处 理 能 力 


IPS 不 仅 要 对 所 有 数据 包 进 行 分 类 并 检测 ,还 要 对 可 疑 数 据 包 进行 拦截 ,因此 它 必须 具 
有 高 效 地 处 理 数据 包 的 能 力 ,使 之 对 整个 网 络 性 能 的 影响 降低 到 最 小 。 


6.6.2 入 侵 防 御 系 统 的 工作 原理 


为 了 正确 理解 IPS 的 工作 原理 和 它 所 具有 的 优势 ,首先 从 传统 的 防火 墙 和 IDS 防御 机 
制 进行 比较 。 防 火 墙 是 实施 访问 控制 策略 的 系统 ,主要 对 流 经 的 OSI 第 2 一 4 层 (也 有 基于 
OSI 第 7 层 的 ) 网 络 流量 进行 检查 ,拦截 不 符合 安全 策略 的 数据 包 , 旨 在 拒绝 那些 明显 可 疑 
的 网 络 流量 ,但 仍然 允许 某 些 基于 OSI 高 层 的 流量 通过 ,因此 防火 墙 对 于 很 多 应 用 型 攻击 
仍然 无 计 可 施 。 

IDS 是 通过 监视 网 络 或 系统 资源 ,寻找 违反 安全 策略 的 行为 或 攻击 迹象 ,发 现 后 发 出 报 
警 。 所 以 IDS 只 是 一 套 报警 系统 ,并 不 具有 真正 的 防御 和 阻止 攻击 的 能 力 ,而 且 IDS 系统 
是 被 动 的 ,也 就 是 说 ,在 攻击 实际 发 生 之 前 ,它们 往往 无 法 预先 发 出 警报 。 

IPS 则 能 提供 对 OSI 第 2 一 7 层 的 全 面 主动 防御 ,其 设计 宗旨 是 预先 对 人 侵 活动 和 攻 
击 性 网 络 流量 进行 拦截 ,避免 其 造成 损失 ,而 不 是 简单 地 在 恶意 流量 传送 时 或 传送 后 才 
发 出 警报 。IPS 主要 包括 检测 和 防御 两 大 系统 。 理 想 的 IPS 应 具备 从 网 络 到 主机 的 防御 
措施 及 预 设 定 的 响应 设置 ,通常 由 IDS 和 防火 墙 技术 分 别 发 展 组 合 而 成 。 检 测 和 实时 防 
御 是 IP 的 最 重要 的 性 能 特征 。IPS 是 通过 直接 嵌入 到 网 络 流量 中 实现 这 两 种 功能 的 , 即 
通过 一 个 网 络 端口 接收 来 自 外 部 系统 的 流量 ,经 过 检查 确认 其 中 不 包含 异常 活动 或 可 疑 
内 容 后 ,再 通过 另外 一 个 端口 将 它 传送 到 内 部 系统 中 。 这 样 一 来 ,有 问题 的 数据 包 , 以 及 
所 有 来 自 同一 数据 流 的 后 续 数 据 包 ,都 能 在 IPS 设 备 中 被 清除 掉 。 它 的 基本 工作 原理 如 
图 6-52 所 示 。 

首先 ,数据 包 在 流入 IPS 设备 前 要 进行 数据 包 分 类 ,依据 就 是 数据 包 中 的 报头 信息 ,如 
源 IP 地 址 和 目的 IP 地 址 、 端 口号 和 应 用 域 . 对 于 不 完整 或 者 不 符合 分 类 标准 的 数据 包 将 被 
丢弃 。 通 过 的 数据 进入 对 应 的 过 滤器 ,根据 过 滤器 中 所 设置 的 不 同 攻 击 行为 特征 进行 数据 
包 检 查 , 如 果 符 合 其 中 的 攻击 行为 特征 , 则 把 相应 数据 包 标 记 为 “命中 ”。 被 标记 为 “命中 ”的 
数据 包 将 在 随后 的 出 口 处 被 丢弃 ,其 余 的 数据 包 将 通过 出 口 进 入 内 部 网 络 。 同 时 ,把 被 标记 
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图 6-52 ” IPS 工作 原理 图 


为 “命中 ”的 数据 包 特征 在 “状态 检测 ”功能 特征 库 中 进行 更 新 ,这 样 下 次 在 数据 包 分 类 过 程 
中 就 可 以 把 这 些 数据 包 丢 弃 , 不 再 进入 过 滤器 ,进一步 提高 了 数据 包 过 滤 的 效率 ,更 有 效 地 
阻止 了 攻击 行为 。 

IPS 实现 实时 检查 和 阻止 人 侵 的 原理 在 于 IPS 拥有 许多 针对 不 同 攻击 行为 特征 设计 的 
过 滤器 ,能 够 防止 各 种 攻击 行为 。 针 对 不 同 的 攻击 行为 ,IPS 需要 不 同 的 过 滤器 ,每 种 过 滤 
器 都 设 有 相应 的 过 滤 规 则 。 为 了 确保 准确 性 ,这 些 规则 的 定义 非常 广泛 。 在 对 传输 内 容 进 
行 分 类 时 ,过 滤 引 擎 还 需要 参照 数据 包 的 信息 参数 ,并 将 其 解析 至 一 个 有 意义 的 域 中 进行 上 
下 文 分 析 , 以 提高 过 滤 的 准确 性 。 当 新 的 攻击 手段 被 发 现 之 后 ,IPS 就 会 创建 一 个 新 的 过 
滤器 。 

过 滤器 引擎 集合 了 流水 和 大 规模 并 行 处 理 硬件 ,能 够 同时 执行 数 千 次 的 数据 包 过 滤 检 
查 。 并 行 过 滤 处 理 可 以 确保 数据 包 能 够 不 间断 地 快速 通过 系统 ,不 会 对 速度 造成 影响 。 这 
种 硬件 加 速 技术 对 于 IPS 具有 重要 的 意义 ,因为 传统 的 软件 解决 方案 必须 串 行 进行 过 滤 检 
查 , 会 导致 系统 性 能 大 打折 扣 。 

IPS 数据 包 处 理 引 擎 是 专业 化 定制 的 集成 电路 ,可 以 深层 检查 数据 包 的 内 容 。 如 果 有 
攻击 者 利用 OSI 第 2 一 7 层 的 漏洞 发 起 攻击 ,IPS 能 够 从 数据 流 中 检查 出 这 些 攻击 并 加 以 阻 
止 。 传 统 的 防火 墙 大 多 数 只 能 对 第 3 层 或 第 4 层 进行 检查 ,不 能 检测 应 用 层 的 内 容 。 防 火 
墙 的 包 过 滤 技 术 不 会 针对 每 一 字 节 进行 检查 ,因而 也 就 无 法 发 现 攻击 活动 ,而 IPS 可 以 做 到 
逐一 字 节 地 检查 数据 包 。 


6.6.3 入 侵 防御 系统 的 分 类 

与 IDS 一样, 随 着 IPS 技术 的 发 展 和 应 用 的 深入 ,目前 IPS 产品 也 出 现 了 不 同类 型 ,并 
应 用 于 不 同 的 环境 中 。 主 要 分 为 以 下 两 类 。 

1. 基于 主机 的 入 侵 防 御 系 统 (Host Intrusion Prevent System.HIPS) 


HIPS 通过 在 主机 /服务 器 上 安装 软件 代理 程序 ,防止 网 络 攻 击 入 侵 操 作 系 统 以 及 应 用 
程序 。 基 于 主机 的 入 侵 防 御 功 能 能 够 保护 服务 器 的 安全 弱点 不 被 不 法 分 子 所 利用 。Cisco 
公司 的 Okena、NAI 公司 的 McAfee Entercept、 冠 群 金 展 的 龙 渊 服务 器 核心 防护 都 属于 这 
类 产品 。HIPS 可 以 根据 自 定义 的 安全 策略 以 及 分 析 学 习 机 制 来 阻 断 对 服务 器 、 主 机 发 起 
的 恶意 人 侵 ; 阻 断 缓冲 区 溢出 ,改变 登录 口令 改写 动态 链接 库 以 及 其 他 试图 从 操作 系统 夺 
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取 控 制 权 的 入 侵 行为 ,整体 提升 主机 的 安全 水 平 。 

在 技术 上 ,HIPS 采用 独特 的 服务 器 保护 途径 ,利用 由 包 过 滤 、 状 态 包 检 测 和 实时 入 侵 
检测 组 成 分 层 防护 体系 。 这 种 体系 能 够 在 提供 合理 吞吐 率 的 前 提 下 ,最 大 限度 地 保护 服务 
器 的 敏感 内 容 , 既 可 以 以 软件 形式 说 入 到 应 用 程序 对 操作 系统 的 调用 当中 ,通过 拦截 针对 操 
作 系统 的 可 疑 调用 ,提供 对 主机 的 安全 防护 ;也 可 以 以 更 改 操作 系统 内 核 程序 的 方式 ,提供 
比 操作 系统 更 加 严谨 的 安全 控制 机 制 。 

由 于 HIPS 工作 在 受 保护 的 主机 /服务 器 上 , 它 不 但 能 够 利用 特征 和 行为 规则 检测 , 阻 
止 诸如 缓冲 区 溢出 之 类 的 已 知 攻击 ,还 能 够 防范 未 知 攻击 ,防止 针对 Web 页 面 \ 应 用 和 资源 
未 授权 的 任何 非法 访问 。HIPS 与 具体 的 主机 /服务 器 操作 系统 平台 紧密 相关 ,不 同 的 平台 
需要 不 同 的 软件 代理 程序 。 


2. 基于 网 络 的 入 侵 防御 系统 (Network Intrusion Prevent System,NIPS) 


随 着 新 型 网 络 蠕虫 CSlammer LovSan 等 ) 的 出 现 , 它 不 通过 网 页 下 载 或 是 邮件 传送 来 散 
布 ,而 是 采用 如 SQL and RPC( 结 构 化 查询 语言 和 远程 过 程 调用 ) 来 进行 攻击 ,目标 是 网 络 
上 已 知 系统 漏洞 的 计算 机 。 由 于 系统 管理 员 无 法 全 天 24 小 时 随时 监控 ,因此 NIPS 是 比较 
适当 的 方法 ,其 采取 的 机 制 如 下 : 丢弃 封包 (packet drop) ,封锁 来 源 (source blocking) 、 重 导 
联机 (onnection reset) ,会 话 代 理 (session proxy) 等 。NIPS 通过 检测 流 经 的 网 络 流量 ,提供 
对 网 络 系统 的 安全 保护 ,可 以 做 到 实时 的 阻挡 黑客 的 入 侵 行为 以 及 破坏 行为 。 另 外 ,由 于 
NIPS 采用 在 线 连 接 方式 ,一 旦 辨别 出 入 侵 行为 , NIPS 就 可 以 取消 该 入 侵 通 信 的 整个 网 络 
会 话 , 而 不 仅仅 是 复位 会 话 。 

在 技术 上 ,NIPS 吸取 了 目前 NIDS 所 有 的 成 熟 技 术 , 包 括 特征 匹配 协议 分 析 和 异常 检 
测 。 特 征 匹 配 是 最 广泛 应 用 的 技术 ,具有 准确 率 高 .速度 快 的 特点 。 基 于 状态 的 特征 匹配 不 
但 检测 攻击 行为 的 特征 ,还 要 检查 当前 网 络 的 会 话 状 态 ,避免 受到 欺骗 攻击 。 协 议 分 析 是 一 
种 较 新 的 入 侵 检测 技术 , 它 充分 利用 网 络 协议 的 高 度 有 序 性 ,并 结合 高 速 数 据 包 捕捉 和 协议 
分 析 来 快速 检测 某 种 攻击 特征 。 协 议 分 析 正 在 逐渐 进入 成 熟 应 用 阶段 ,协议 分 析 能 够 理解 
不 同 协议 的 工作 原理 ,以 此 分 析 这 些 协 议 的 数据 包 , 寻 找 可 疑 或 不 正常 的 访问 行为 。 协 议 分 
析 不 仅仅 基于 协议 标准 (如 RFC) ,还 基于 协议 的 具体 实现 ,这 是 因为 很 多 协议 的 实现 偏离 
了 协议 标准 。 通 过 协议 分 析 ,IPS 能 够 针对 插入 (Insertion) 与 规避 (Evasion) 攻 击 进行 检测 。 
异常 检测 的 误 报 率 比较 高 ,NIPS 不 将 其 作为 主要 技术 。 

由 于 要 实时 在 线 ,NIPS 需要 具备 很 高 的 性 能 ,以 免 成 为 网 络 的 瓶颈 ,因此 ,NIPS 通常 
被 设计 成 类 似 于 交换 机 的 网 络 设备 ,提供 线 速 吞 吐 率 以 及 多 个 网 络 端口 。NIPS 必须 基于 
特定 的 硬件 平台 ,才能 实现 千 兆 位 级 网 络 流量 的 深度 数据 包 检 测 和 阻 断 功 能 。 这 种 特定 的 
硬件 平台 通常 可 以 分 为 3 类 : 一 类 是 网 络 处 理 器 (网 络 芯片 ) , 另 一 类 是 专用 的 FPGA 编程 
芯片 ,第 三 类 是 专用 的 ASIC 芯片 。 

NIPS 的 实时 检测 与 阻 断 功能 很 有 可 能 出 现在 未 来 的 交换 机 或 者 防火 墙 上 。 随 着 处 理 
器 性 能 的 提高 ,每 一 层次 的 交换 机 都 有 可 能 集成 人 侵 防 护 功 能 。 也 有 专家 预测 ,NIPS 就 是 
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6.6.4 典型 入 侵 防 御 产 品 介绍 


1. 天 清 入 侵 防御 系统 


天 清 入 侵 防 御 系 统 ( 简 称 : 天 清 IPS, 如 图 6-53 所 示 ) 是 启明 星辰 信息 技术 有 限 公 司 自 
行 研制 开发 的 入侵 防御 类 网 络 安 全 产品 。 该 产品 不 仅 可 以 对 网 络 蠕虫 .间谍 软件 ,溢出 攻 
击 、 数 据 库 攻 击 、 网 络 设备 攻击 等 多 种 深层 攻击 行为 进行 主动 阻 断 ,弥补 其 他 安全 产品 深层 
防御 效果 的 不 足 , 同 时 也 融入 了 启明 星辰 公司 在 入 侵 攻 击 识别 方面 的 积累 和 研究 成 果 , 在 精 
确 阻 断 方面 达到 国际 领先 水 平 。 

天 清 IPS 产品 有 如 下 特点 : 

。 精确 阻 断 达 到 国际 领先 水 平 : 天 清 IPS 融合 了 基于 攻击 躲避 原理 的 阻 断 方法 与 基 
于 攻击 特征 的 阻 断 方 法 ,不 但 有 效 提高 了 对 各 种 深层 攻击 行为 的 识别 能 力 , 而 且 对 
攻击 变种 .SQL 注入 等 无 法 通过 特征 判断 的 攻击 行为 也 能 实现 精确 阻 断 。 
在 线 部 署 ,高 效 可 靠 : 天 清 IPS 是 以 透明 方式 串 行 部 署 于 网 络 中 。 通 过 软 、 硬 件 双 
Bypass 功能 ,即使 在 最 恶劣 的 情况 下 ,天 清 IPS 也 不 会 成 为 网 络 的 故障 点 。 天 清 
IPS 通过 合理 分 配 资源 .CPU 与 任务 绑 定 等 技术 ,大 幅 提升 了 系统 的 性 能 ,其 微 秒 级 
时 延 和 千 兆 高 吞吐 量 可 满足 电信 级 业务 的 应 用 。 
综合 管理 , 易 用 、 易 查 : 天 清 IPS 支持 向 导 式 的 策略 配置 管理 ,可 根据 需求 灵活 调整 
保护 策略 ,达到 最 佳 防御 效果 ,并 提供 对 历史 记录 信息 细致 的 查询 分 析 功 能 。 
支持 在 线 更 新 ,防御 最 新 威胁 : 天 清 IPS 可 通过 在 线 自动 升级 ,增加 对 最 新 威胁 的 
防御 能 力 。 


2. 华为 入 侵 防御 系统 


华为 3Com 公司 最 新 推出 的 TippingPoint 系列 IPS( 图 6-54) ,具备 对 OSI 第 2 一 7 层 流 量 
的 深度 分 析 与 检测 能 力 , 同 时 配合 以 精心 研究 的 攻击 特征 知识 库 和 用 户 规则 , 既 可 以 有 效 检 
测 并 实时 阻 断 隐藏 在 海量 网 络 流量 中 的 病毒 ,攻击 与 滥用 行为 ,也 可 以 对 分 布 在 网 络 中 的 各 
种 流量 进行 有 效 管理 ,从 而 达到 对 网 络 基 础 设施 的 保护 、 对 网 络 应 用 的 保护 和 对 网 络 性 能 的 
保护 。 


图 6-53 天 清 入 侵 防 御 系 统 设备 图 6-54 华为 人 侵 防御 系统 设备 


TippingPoint IPS 产品 有 如 下 特点 。 
。 安全 与 高 性 能 的 结合 : TippingPoint IPS 产品 将 统一 的 安全 功能 与 出 色 的 数据 交换 
融合 在 一 起 ,专门 设计 的 硬件 平台 ,使 得 其 具备 了 类 似 以 太 网 交换 机 的 性 能 ;采用 基 
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于 专业 ASIC 技术 以 及 高 性 能 网 络 处 理 器 (NP) 开 发 的 威胁 抑制 引擎 (Threat 
Suppression Engine, TSE) 具 备 高 达 20GB 的 高 带宽 背 板 ,提供 大 规模 并 行 处 理 机 
制 ,TSE 可 以 对 一 个 报 文 同时 进行 几 千 种 检测 ,空前 提高 了 整体 的 处 理性 能 ,TSE 
还 具备 超 强 的 流量 分 类 ,流量 管理 和 流量 整形 功能 ,可 以 自动 统计 和 计算 正常 状况 
下 网 络 内 各 种 应 用 流量 的 分 布 , 并 且 基 于 该 统计 形成 流量 框架 模型 ; 当 大 量 的 P2P、 
IM 流量 侵占 带宽 等 异常 发 生 时 ,TSE 将 根据 已 经 建立 的 流量 框架 模型 限制 或 者 丢 
弃 异 常 流量 ,保证 关键 业务 的 可 达 性 和 通畅 性 。 

主动 防御 的 网 络 安全 : TippingPoint IPS 在 跟踪 流 状 态 的 基础 上 ,可 以 在 蠕虫 、 病 
毒 .木马 .DoS/DDoS, 后 门 、Walk-in 蠕虫 .连接 劫持 、 带 宽 滥 用 等 威胁 发 生前 成 功 地 
检测 并 阻 断 ;能 够 有 效 抵御 针对 路 由 器 、 交 换 机 .DNS 服务 器 等 网 络 重要 基础 设施 
的 攻击 ;支持 基于 访问 控制 列表 、 统 计 、 协 议 跟踪 等 检测 机 制 , 可 以 对 流量 进行 细微 
粒度 的 识别 与 控制 .有效 检测 流量 浪 涌 、 缓 冲 区 溢出 、 漏 洞 利 用 、IPS 躲避 等 一 些 已 
知 的 、 甚 至 未 知 的 攻击 。 

升级 维护 轻松 及 时 : TippingPoint 业界 领先 的 专业 安全 威胁 分 析 团 队 是 安全 威胁 公 
告 牌 SANS @Risk 的 主导 者 与 主要 贡献 人 ,SANS @Risk 每 周 四 定期 向 其 全 球 范 
围 内 30 万 专业 订户 发 布 披露 最 新 安全 威胁 的 公告 ,公告 内 容 包含 最 新 发 现 的 漏洞 、 
漏洞 所 带 来 的 影响 `. 表 现形 式 以 及 指导 用 户 如 何 采取 防范 措施 。 由 此 ,TippingPoint 
安全 威胁 分 析 团 队 将 实时 为 所 有 IPS 用 户 发 布 名 为 数字 疫苗 (Digital Vaccine,DV) 
的 更 新 防护 信息 。 不 仅 如 此 ,TippingPoint 安全 分 析 团 队 还 与 全 球 著名 的 系统 软件 
厂商 ,如 Microsoft、Oracle 等 ,保持 了 良好 的 合作 关系 。 在 某 个 漏洞 被 发 现 后 ， 
TippingPoint 能 够 在 第 一 时 间 ( 即 厂商 公布 安全 公告 之 前 ) 获 得 该 漏洞 的 详细 信息 ， 
并 且 利用 这 一 时 间 差 及 时 制作 可 以 抵御 该 漏洞 的 数字 疫苗 ,使 得 用 户 的 网 络 免 遭 这 
种 “即时 攻击 ”(Zero-day Attack) 。 

轻松 管理 : 为 满足 不 同类 型 用 户 对 IPS 产品 部 署 与 管理 的 需求 特点 ,TippingPoint 
IPS 提供 如 下 三 种 不 同 的 操作 管理 方式 。 

名 SMS-Security Management System , 即 面向 规模 部 署 的 企业 级 综合 管理 中 心 。 

名 LSM-Local Security Manager: 即 面向 独立 部 署 的 嵌入 式 管理 软件 。 

名 CLI-Command Line Interface, 即 面向 专业 用 户 的 命令 行 管理 工具 。 

多 重 高 可 靠 性 打造 99. 999% 安全 网 络 : 多 重 高 可 靠 (Multi-Layer High Availability， 
MLHA) 是 TippingPoint IPS 为 保证 网 络 与 业务 的 永 续 性 而 开发 的 专利 技术 ,该 技术 面 
向 业务 传送 的 所 有 层面 进行 高 可 靠 保护 ,使 得 在 任何 情况 下 业务 都 不 会 因为 IPS 的 故 
障 而 中 断 。 物 理 级 保护 和 掉 电 事 故 保护 、 系 统 软件 故障 保护 \ 宛 余 网 络 部 署 中 的 基于 
状态 的 业务 保护 .不 间断 的 管理 保护 .SMS 提供 的 增强 模式 及 SMS 支持 元 余部 署 等 高 
可 靠 性 的 设计 与 协同 工作 ,使 得 TippingPoint IPS 系统 成 为 99. 999% 电信 级 安全 网 络 
的 坚强 基石 。 


6.7 防火 墙 \IDS 与 IPS 比较 


从 2003 年 Gartner 公司 副 总 裁 Richard Stiennon 发 表 ( 入侵 检测 已 寿终正寝 ,入 侵 防 御 
将 万 古 长 青 ) 的 报告 引发 安全 业界 震动 至 今 . 关 于 入 侵 检测 系统 (IDS) 与 入侵 防御 系 
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统 (IPS) 之 间 关 系 的 讨论 已 经 趋 于 平淡 。2006 年 互联 网 数据 中 心 (Internet Data Center， 
IDC) 年 度 安 全 市 场 报告 更 是 明确 指出 IDS 和 IPS 是 两 个 独立 的 市 场 , 给 这 场 讨 论 画 上 了 一 
个 句号 。 


6.7.1 如 何 区 分 和 选择 IDS 与 IPS 


目前 无 论 是 信息 安全 专业 人 士 还 是 普通 用 户 , 都 认为 IDS 和 IPS 是 两 类 产品 ,并 不 存 
在 IPS 要 替代 IDS 的 可 能 。 但 IPS 的 出 现 的 确 给 用 户 带 来 了 新 的 困惑 ,有 些 用 户 进行 产品 
选择 时 在 产品 类 型 上 写 着 * 和 人 侵 检 测 系统 或 者 入 侵 防 御 系统 ”。 其 实 从 产品 价值 和 应 用 角度 
来 分 析 ,可 以 很 清晰 地 区 分 和 选择 IDS 和 IPS。 

(1) 从 产品 价值 角度 来 看 ,IDS 注重 的 是 网 络 安全 状况 的 监管 。 用 户 进行 网 络 安全 建 
设 之 前 ,通常 要 考虑 信息 系统 面临 哪些 威胁 威胁 的 来 源 以 及 进入 信息 系统 的 途径 、 信 息 系 
统 对 这 些 威胁 的 抵御 能 力 等 方面 的 信息 。 在 信息 系统 建设 中 和 实施 后 也 要 不 断 地 观察 信息 
系统 中 的 安全 状况 ,从 而 有 的 放 矢 地 进行 系统 建设 ,根据 安全 状况 及 时 调整 安全 策略 ,减少 
信息 系统 被 破坏 的 可 能 。 

IPS 关注 的 是 对 入 侵 行 为 的 控制 。 当 用 户 明确 信息 系统 安全 建设 方案 和 策略 之 后 ,可 
以 在 IPS 中 实施 边界 防护 安全 策略 。 与 防火 墙 类 产品 可 以 实施 的 安全 策略 不 同 ,IPS 可 以 
实施 深层 防御 安全 策略 , 即 可 以 在 应 用 层 检 测 出 攻击 并 予以 阻 断 ,这 是 防火 墙 所 做 不 到 的 ， 
当然 也 是 IDS 所 做 不 到 的 。 

(2) 从 产品 应 用 角度 来 看 ,为 了 达到 可 以 全 面 检测 网 络 安全 状况 的 目的 ,IDS 需要 部 署 
在 网 络 内 部 的 中 心 点 ,需要 观察 到 所 有 网 络 数据 。 如 果 信 息 系统 中 包含 了 多 个 逻辑 隔离 的 
子 网 , 则 需要 在 整个 信息 系统 中 实施 分 布 部 署 ,以 达到 掌控 整个 信息 系统 安全 状况 的 目的 。 

为 了 实现 对 外 部 攻击 的 防御 ,IPS 需要 部 署 在 网 络 的 边界 。 所 有 来 自 外 部 的 数据 必须 
串 行 通过 IPS,IPS 通过 实时 分 析 网 络 数据 ,发 现 攻 击 行为 立即 予以 阻 断 , 保 证 来 自 外 部 的 攻 
击 数据 不 能 通过 网 络 边 界 进入 网 络 。 

(3) 如 何 选择 IDS 和 IPS。 明 确 了 上 述 区 别 ,用 户 就 可 以 比较 理性 地 进行 产品 的 类 型 
选择 。 

。 车 用 户 计划 在 一 次 项 目 中 实施 较为 完整 的 安全 解决 方案 , 则 应 同时 选择 和 部 署 IDS 

和 IPS 两 类 产品 ,在 全 网 部 署 IDS, 在 网 络 的 边界 点 部 署 IPS。 
。 车 用 户 计 划分 步 实施 安全 解决 方案 ,可 以 考虑 先 部 署 IDS 进行 网 络 安全 状况 监控 ， 
后 期 再 部 署 IPS。 

。 若 用 户 仅仅 关注 网 络 安全 状况 的 监控 (如 金融 监管 部 门 . 电 信 监 管 部 门 等 ) ,只 需 在 

目标 信息 系统 中 部 署 IDS 即 可 。 

分 析 哪 个 产品 更 加 满足 用 户 需求 ,需要 我 们 真正 看 清 用 户 的 安全 需求 到 底 是 什么 。 很 
显然 ,用 户 需 要 的 不 是 单一 的 产品 .也 不 是 众多 产品 的 简单 堆砌 。 现 在 一 个 比较 流行 的 说 法 
就 是 “信息 安全 保障 体系 (系统 )”, 也 就 是 用 户 的 安全 是 要 靠 众多 技术 产品 .服务 和 管理 等 要 
素 组 合成 一 个 完整 的 体系 ,来 解决 所 面临 的 安全 威胁 保护 自己 的 信息 资产 和 业务 。 
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6.7.2 1IPS 等 于 防火墙 ++IDS” 吗 


防火 墙 和 IDS 是 两 种 截然 不 同 的 技术 行为 。 

。 防火 墙 是 网 关 形式 ,要 求 高 性 能 和 高 可 靠 性 。 因 此 防火 墙 会 非常 看 重 吞 吐 率 、 延 时 、 
HA 等 方面 的 要 求 。 防 火 墙 最 主要 的 特征 应 当 是 通 (传输 ) 和 断 (阻隔 ) 两 个 功能 ,所 
以 其 传输 要 求 是 非常 高 的 。 

。 IDS 是 一 个 检测 和 发 现 为 特征 的 技术 行为 ,其 追求 的 是 漏 报 率 和 误 报 率 的 降低 。 其 
对 于 性 能 的 追求 主要 是 在 抓 包 不 能 漏 , 分 析 不 能 错 , 而 不 是 征 秒 级 的 快速 结果 。IDS 
由 于 其 技术 特征 ,所 以 其 计算 复杂 度 是 非常 高 的 。 

IPS 试图 将 防火 墙 和 IDS 两 个 技术 之 间 存 在 的 天 然 矛 盾 灶 合 在 一 起 ,这 在 技术 本 质 上 

存在 的 矛盾 是 客观 的 。 

。 对 于 串 接 在 网 络 中 的 IPS 来 说 ,分 析 得 越 清 晰 准确 ,计算 复杂 度 越 高 ,传输 延迟 就 会 
大 大 增加 。 怎 么 能 够 让 IPS 去 检测 优秀 IDS 的 超过 2000 多 种 攻击 方法 ,而 还 能 保 
持 高 的 传输 性 能 ? 

。 IDS 的 检测 准确 度 是 永远 不 能 达到 100% ,而 防火 墙 的 动作 是 一 个 绝对 的 阻 断 操作 ， 
用 一 个 并 不 完全 准确 的 检测 结果 ,指导 一 个 绝对 的 阻 断 操作 ,这 个 风险 太 大 了 。 

因此 ,把 IPS 看 做 是 防火 墙 和 IDS 的 组 合 是 不 可 能 的 。 


6.7.3 检测 和 访问 控制 (防御 ) 的 协同 是 必然 趋势 


前 面谈 到 检测 技术 和 访问 控制 技术 的 矛盾 ,但 是 两 个 技术 的 协同 工作 和 在 应 用 上 的 融 
合 又 是 一 个 迫切 的 要 求 和 必然 趋势 。 中 国信 息 产 业 商 会 届 延 文教 授 在 (软件 行为 学 》 中 提出 
“监测 要 集中 ,控制 要 分 布 ”, 这 个 观点 对 于 如 何 看 待 检测 类 技术 的 走向 是 非常 重要 的 。 

一 个 准确 度 不 能 完全 令 人 满意 的 IDS, 经 过 人 工 的 分 析 可 以 变 得 准确 ;同样 ,经 过 大 规 
模 的 IDS 部 署 后 的 集中 分 析 , 以 及 和 其 他 检测 类 技术 的 关联 分 析 , 可 以 获得 更 加 精确 的 结 
果 。 这 样 的 局 部 事件 (Event) 检 测 向 全 局 性 的 事件 (Incident) 检 测 发 展 ,根据 全 局 性 的 检测 
结果 就 可 以 进行 全 局 性 的 响应 和 控制 。 这 是 从 宏观 看 检测 和 访问 控制 的 融合 方向 。 

全 局 性 的 检测 可 以 有 效 提 高 检测 的 准确 率 , 但 是 导致 检测 过 程 变 长 ,局 部 速度 不 够 快 。 
因此 , 面 对 一 些 局 部 事件 ,针对 其 检测 可 以 比较 快速 且 阻 断后 带 来 的 负面 影响 相对 较 小 时 ， 
采用 IPS 将 是 一 个 较 好 的 方案 。 

根据 现 有 的 检测 .传输 和 芯片 技术 ,目前 IPS 能 够 解决 的 主要 是 单 包 检测 和 高 速 传输 的 
融合 ,对 于 端口 扫描 ,拒绝 服务 .蠕虫 等 特征 比较 明确 的 攻击 可 以 做 到 高 效 的 检测 和 及 时 的 
阻 断 防护 ,而 对 于 更 为 复杂 的 攻击 (如 采用 变形 攻击 攻击 包 拆 分 发 送 ) 则 难以 防范 。 

IDS 和 IPS 满足 的 是 用 户 不 同 的 安全 需求 。 两 种 技术 在 相当 长 的 时 间 里 将 与 防火 墙 技 
术 共 存 ,在 用 户 的 信息 安全 保障 体系 中 担当 不 同 的 角色 ,并 协同 工作 。 
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6.8 习 题 


. 和信 侵 检 测 的 作用 是 什么 ? 人 侵 检测 系统 与 防火 墙 有 什么 区 别 ? 
. 请 简单 介绍 人 侵 检 测 系统 的 通用 模型 。 

.人 侵 检测 的 原理 是 什么 ?常用 的 入 侵 检测 技术 有 哪些 ? 
.人 侵 检测 的 流程 包括 哪些 步骤 ? 

.人 侵 检测 系统 可 以 分 为 哪 几 类 ? 

萨 客 晰 入侵 检测 系统 有 哪些 功能 ? 

.Snort 有 哪 几 种 工作 模式 ?其 作用 是 什么 ? 

. 安装 和 配置 Snort 需要 经 过 哪些 步骤 ? 

. 人 侵 防御 的 原理 是 什么 ? 

10. 入 侵 防 御 系统 可 以 分 为 哪 几 类 ? 

11. 简 述 防火 墙 \IDS 与 IPS 之 间 的 关系 。 


oT 


人 a 
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本 章 学 习 目 标 : 

。 理解 网 络 安全 隔离 的 意义 。 

。 掌握 划分 子 网 的 方法 。 

。 掌握 通过 创建 VLAN 实现 网 络 安 全 隔离 的 方法 。 
。 了 解 物理 隔离 产品 及 应 用 。 


随 着 政府 上 网 企业 上 网 ,电子 商务 等 一 系列 网 络 应 用 的 蓬勃 发 展 ,Internet 正在 逐渐 
融入 社会 的 各 个 方面 。 一 方面 ,网 络 用 户 成 分 越 来 越 多 样 化 ,出 于 各 种 目的 的 网 络 人 侵 和 攻 
击 越 来 越 频繁 ; 另 一 方面 ,网 络 应 用 越 来 越 深 地 渗透 到 金融 ,商务 .国防 等 关键 要 害 领域 。 换 
言 之 ,Internet 网 的 安全 ,包括 其 中 的 信息 数据 安全 和 网 络 设备 服务 的 运行 安全 ,日 益 成 为 
与 国家 政府 .企业 的 利益 休戚 相关 的 事情 。 

随 着 网 络 技术 的 发 展 , 可 以 根据 有 特殊 要 求 的 部 门 和 用 户 进行 隔离 保护 ,当然 这 里 的 隔离 
保护 只 是 阻止 未 经 允许 的 用 户 访问 敏感 部 门 和 关键 用 户 网 络 ,而 这 些 敏感 部 门 和 关键 用 户 ,可 
以 通过 相应 配置 与 其 他 未 被 隔离 的 网 络 进行 正常 的 数据 交换 ,现在 有 如 下 三 种 解决 方案 。 

(1) 通过 子 网 掩 码 划 分 子 网 对 网 络 进行 隔离 。 这 种 方法 可 以 充分 、 合 理 地 利用 IP 地 址 
资源 ,减少 网 络 风 暴 , 便 于 安全 隔离 管理 ,管理 成 本 是 最 低 的 。 

(2) 通过 划分 VLAN 网 段 对 网 络 进行 隔离 。 这 是 对 相关 部 门 和 用 户 在 网 络 应 用 上 进 
行 功 能 细 分 ,是 一 种 软 硬 件 的 集合 ,普及 性 及 适用 性 比较 强 。 

(3) 通过 构建 网 络 隔离 系统 对 网 络 进行 隔离 。 这 是 对 于 有 较 高 要 求 的 网 络 应 用 。 

本 章 着 重 介绍 子 网 掩 码 划分 .VLAN 虚拟 网 配置 ,物理 隔离 则 通过 具体 产品 及 应 用 向 
大 家 介绍 。 


7.1 利用 子 网 掩 码 划分 子 网 的 应 用 
7.1.1 Packet Tracer 模拟 器 简介 


Packet Tracer 是 由 Cisco 公司 发 布 的 一 个 辅助 学 习 工 具 , 为 学 习 思科 网 络 课 程 的 初学 
者 去 设计 、 配 置 .排除 网 络 故障 提供 了 网 络 模 拟 环境 。 用 户 可 以 在 软件 的 图 形 用 户 界面 上 直 
接 使 用 拖 忠 方法 建立 网 络 拓扑 ,并 可 提供 数据 包 在 网 络 中 行进 的 详细 处 理 过 程 , 观 察 网 络 实 
时 运行 情况 。Packet Tracer 模拟 器 的 主 界面 如 图 7-1 所 示 。 
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图 7-1 Packet Tracer 模拟 器 主 界面 


下 面 的 项 目 设计 可 以 在 Packet Tracer 模拟 器 中 进行 ,其 配置 方法 与 真实 设备 配置 方法 
相同 。 


7.1.2 项 目 背景 及 方案 设计 


1. 项 目 背景 


rn ti er dein oaogl 
门 分 处 不 同 的 地 理 位 置 。 该 公司 需要 建立 内 部 网 络 , 要 求 如 下 : 

pt 

(2) 各 部 门 内 部 计算 机 终端 之 间 能 够 直接 通信 。 

(3) 各 部 门 之 间 数 据 信息 具有 一 定 的 独立 性 。 

(4) 财务 处 的 数据 必须 受到 严格 保护 , 非 授 权 人 员 不 能 访问 。 

(5) 公司 内 所 有 计算 机 都 能 够 访问 互联 网 。 

(6) 网 络 设备 要 高 速 、 稳 定 运行 。 


2. 方案 设计 | 
aa 有 2811 

根据 公司 要 求 ,设计 方案 如 下 。 62 ON Router3 

(1) 通过 子 网 拖 码 划分 子 网 ,使 三 个 部 门 县 一 名 

分 别 属于 不 同 的 子 网 ,便于 管理 。 eo Sviehd 2960-24rt 2900- 24 
(2) 各 部 门 分 别 配置 一 台 交换 机 ,用 于 连 oY 

接 该 部 门 所 有 终端 设备 。 月 惫 和 

ss EN PC-PT | PC-PT 

(3) 各 部 门 之 间 通过 路 由 器 连接 ,实现 互 Pcl PC GE 


相通 信 ,并 通过 该 路 由 器 连接 到 Internet。 


(4) 方案 的 网 络 拓扑 图 如 图 7-2 所 示 。 


图 7-2 子 网 掩 码 划分 子 网 网 络 拓扑 图 
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(5) 路 由 器 Router2 端口 规划 如 表 7-1 所 示 。 
表 7-1 路 由 器 Router2 端口 规划 


设备 名 称 端 口 用 途 
FastEthernet 0/0 连接 Switch0 
FastEthernet 0/1 连接 Switchl 
Router2 
FastEthernet 1/0 连接 Switch2 
FastEthernet 1/1 连接 远程 分 支 机 构 
7.1.3 实施 步骤 


实现 子 网 掩 码 划 分 子 网 的 步骤 如 下 。 
1. 确定 子 网 掩 码 


根据 公司 原 申 请 到 的 198. 16. 1. 0/24 网 段 , 可 知 其 原子 网 掩 码 为 : 255. 255. 255.0。 现 
在 需要 划分 子 网 , 即 考虑 从 原子 网 掩 码 的 第 四 字 节 (主机 位 ?中 画 出 最 高 的 几 位 作 网 络 位 ,用 
于 划分 子 网 。 
(1) 假设 子 网 的 主机 位 位 数 。 由 于 最 大 的 部 门 有 30 台 计 算 机 ,由 下 面 的 推算 可 知 , 子 
网 的 主机 位 位 数 至 少 为 5 位 。 
2 一 2 一 30 
(2) 确定 子 网 的 网 络 位 数 。 由 第 二 步 可 假设 子 网 的 主机 位 位 数 为 5 位 , 则 子 网 的 网 络 
位 位 数 为 3 位 ,由 下 面 的 计算 可 知 ,3 位 网 络 位 可 以 划分 为 6 个子 网 ,而 公司 有 三 个 部 门 , 完 
全 满足 要 求 。 
2 一 2 一 6 
车 注意 : 减 2 的 原因 : 划分 子 网 通常 不 采用 子 网 号 全 为 0 或 全 为 1 的 子 网 。 子 网 号 
全 为 0 时 ,与 划分 子 网 前 的 原 网 络 号 相同 ,不 便于 区 分 是 子 网 络 还 是 原 网 络 。 子 网 号 全 为 
1 时 ,其 广播 地 址 与 原 网 络 的 广播 地 址 相同 ,不 便于 区 分 。 因 此 ,划分 子 网 后 得 到 的 实际 
子 网 数 应 减 2, 才 得 到 可 用 子 网 数 。 
(3) 确定 子 网 掩 码 。 根 据 上 述 步骤 ,确定 子 网 的 网 络 位 位 数 为 3、 主机 位 位 数 为 5。 于 
是 可 以 由 下 面 的 计算 得 到 子 网 掩 码 为 255. 255. 255. 224 。 
(11100000), = (224)1o 


2. 确定 并 分 配子 网 及 IP 地 址 范围 


(1) 确定 子 网 及 IP 地 址 范围 。 进 行 子 网 划分 后 , 即 可 确定 各 子 网 的 网 络 号 及 其 IP 地 
址 范围 等 (如 表 7-2 所 示 )。 其 中 要 排除 子 网 号 全 为 0 和 全 为 1 的 子 网 。 
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表 7-2 子 网 与 相应 IP 地 址 范围 


子 网 号 IP 地 址 范围 
198. 16. 1.0( 排 除 ) 198. 16.1.1 ~ 198. 16, 1.30 
198. 16. 1. 32 198. 16. 1.33 ~ 198. 16.1.62 
198. 16. 1. 64 198. 16. 1. 65 ~ 198. 16. 1. 94 
198. 16. 1. 96 198. 16. 1. 96 ~ 198. 16. 1. 126 
198. 16. 1. 128 198. 16. 1. 129 一 198. 16. 1. 158 
198. 16. 1. 160 198. 16. 1. 161 一 198. 16. 1. 191 
198. 16. 1. 192 198. 16. 1. 193 一 198. 16. 1. 222 
198. 16. 1. 224 (排除 198. 16. 1. 225 一 198. 16. 1. 254 


(2) 分 配子 网 并 设置 默认 网 关 。 可 以 在 表 7-2 中 的 6 个 可 用 子 网 中 任 选 3 个 子 网 分 配 
给 公司 的 三 个 部 门 , 然 后 给 三 个 部 门 的 PC 分 配 IP 地 址 、. 子 网 掩 码 和 默认 网 关 。 例 如 ,如 
表 7-3 所 示 给 三 个 部 门 分 配子 网 ,并 设置 默认 网 关 。 


表 7-3 子 网 及 IP 地 址 分 配 


部 门 名 称 子 网 号 默认 网 关 示例 PC 
生产 车 间 198. 16. 1. 32 198. 16. 1. 33 PC0 

销售 处 198. 16. 1. 64 198. 16. 1. 65 PC1、PC2 
财务 处 198. 16. 1. 96 198. 16. 1. 97 PC3 


3. 搭建 如 图 7-4 所 示 网 络 环境 ,配置 Router2 路 由 器 


使 用 Console 控制 台电 缆 将 路 由 器 Router2 的 控制 台 端 口 (Console 端口 ) 与 PC0 的 
COMI1 或 COM2 串 行 接口 相连 。 在 PC0 上 选择 【开始 】 人 程序 ] 代 附件] 通信 人 超级 终 
端 ] 命 令 ,配置 并 运行 超级 终端 程序 。 连 接 路 由 器 ,开始 路 由 器 的 加 电 启 动 。 然 后 登录 路 由 
器 ,进行 路 由 器 的 配置 。 步 骤 如 下 : 

(1) 当 用 户 登 录 路 由 器 时 ,所 处 的 命令 执行 模式 为 用 户 EXEC 模式 ,在 此 模式 下 执行 
enable 命令 进入 特权 EXEC 模式 。 


Router> enable 
(2) 在 特权 模式 下 ,执行 Configure terminal 命令 进入 全 局 配置 模式 。 
Router# Configure terminal 


(3) 设置 控制 台 的 用 户 级 登录 密码 和 进入 特权 模式 的 密码 。 

根据 公司 需求 ,财务 处 的 数据 必须 受到 严格 保护 , 非 授权 人 员 不 能 访问 。 因 此 ,对 路 由 
器 设置 控制 台 的 用 户 级 登录 密码 和 进入 特权 模式 的 密码 。 

@ 设置 控制 台 的 用 户 级 登录 密码 为 cisco 


Router (config)#1ine console 0 
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Router (config- line)#password cisco 
! 使 所 设置 的 密码 起 效 

Router (config- line)#1ogin 

Router (Config- line)#exit 


@ 设置 进入 特权 模式 的 密码 为 ciscoen 


Router (config)#enable passwore ciscoen 
或 者 SWA (config)#enable secret ciscoen 


其 中 ,enable secret 命令 设置 的 密码 在 配置 文件 中 是 加 密 保 存 的 ,强烈 推荐 采用 该 方 
式 ; 而 enable passwore 命令 所 设置 的 密码 在 配置 文件 中 采用 明文 保存 。 
(4) 选择 fo/0 端口 ,启用 该 端口 。 


Router (config)# int £0/0 
Router (config- if)# no shutdown 


(5) 配置 该 端口 的 IP 地 址 。 

Router (config- if)#ip address 198.16.1.33 255.255.255.224 
(6) 退出 到 上 一 级 模式 。 

Router (Config- if)#exit 

(7) 配置 连接 其 他 交换 机 的 {0/1 端口 和 和 /0 端口 。 


Router (config)# int £0/1 

Router (config- if)#no shutdown 

Router (config- if)# ip address 198.16.1.65 255.255.255.224 
Router (config- if)#exit 

Router (config)# int fl/0 

Router (config- if)#no shutdown 

Router (config- if)# ip address 198.16.1.97 255.255.255.224 
Router (Config- if)#exit 

Router (Config)# int f1/1 

Router (config- if)# no shutdown 

Router (config- if)# ip address 10.1.1.10 255.255.255.0 


(8) 执行 end 命令 可 以 直接 退回 到 特权 模式 。 
Router (config- if)#end 


(9) 保存 配置 。 
配置 完毕 后 ,必须 退 到 特权 模式 下 ,使 用 write 命令 保存 。 否 则 ,路 由 器 断 电 重启 后 ,所 
作 的 配置 修改 无 效 。 


Router# write 


代表 远程 机 构 的 路 由 器 Router3 的 配置 ,只 需 启 用 其 与 Router2 连接 的 端口 即 可 。 
4. 配置 各 PC 
根据 表 7-2 中 示例 PC 所 属地 址 空间 ,配置 各 PC 的 耳 地址. 子 网 掩 码 和 默认 网 关 。 
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5. 测试 子 网 之 间 的 连通 性 


(1) 测试 不 同 子 网 间 的 连通 性 。 在 任意 两 台 不 同 子 网 的 PC 之 间 使 用 Ping 命令 ,测试 
子 网 之 间 的 连通 性 ,如 果 连 通则 说 明 配 置 正确 : 各 部 门 之 间 通 过 子 网 掩 码 划分 子 网 实现 了 
相互 通信 。 

(2) 测试 各 PC 与 Router2 的 {0/1 端口 的 连通 性 。 在 各 PC 上 使 用 Ping 命令 测试 与 
RO 路 由 器 fo/l 端口 (IP 地 址 : 10. 1. 1. 10/24) 的 连通 性 ,可 以 连通 则 说 明 网 络 配置 正确 , 公 
司 内 所 有 计算 机 都 可 以 访问 互联 网 。 


7.2 VLAN 子 网 的 划分 
除了 通过 子 网 掩 码 来 划分 网 络 外 ,目前 网 络 中 还 有 另外 一 种 网 络 的 划分 , 那 就 是 VLAN。 
7.2.1 VLAN 简介 


VLAN(Virtual Local Area Network ,虚拟 局 域 网 ) 是 一 种 通过 将 局 域 网 内 的 设备 逻辑 
地 而 不 是 物理 地 划分 成 一 个 个 网 段 从 而 实现 虚拟 工作 组 的 新 兴 技 术 。 

IEEE 于 1999 年 颁布 了 用 以 标准 化 VLAN 实现 方案 的 802. 1Q 协议 标准 草案 。 
VLAN 是 为 解决 以 太 网 的 广播 问题 和 安全 性 提出 的 , 它 在 以 太 网 帧 的 基础 上 增加 了 VLAN 
头 ,用 VLAN ID 把 用 户 划 分 为 更 小 的 工作 组 ,限制 不 同 工 作 组 间 的 用 户 二 层 互 访 ,每 个 工 
作 组 就 是 一 个 虚拟 局 域 网 。 虚 拟 局 域 网 的 好 处 是 可 以 限制 广播 范围 ,并 能 够 形成 虚拟 工作 
组 ,动态 管理 网 络 。 


7.2.2 VLAN 的 划分 


VLAN 技术 允许 网 络 管理 者 将 一 个 物理 的 LAN 逻辑 地 划分 成 不 同 的 广播 域 ,每 一 个 
VLAN 都 包含 一 组 有 着 相同 需求 的 计算 机 工作 站 ,与 物理 上 形成 的 LAN 有 着 相同 的 属性 。 
但 由 于 它 是 逻辑 地 而 不 是 物理 地 划分 ,所 以 同一 个 VLAN 内 的 各 个 工作 站 无 须 被 放置 在 同 
一 个 物理 空间 里 , 即 这 些 工作 站 不 一 定 属 于 同一 个 物理 LAN 网 段 。 一 个 VLAN 内 部 的 广 
播 和 单 播 流量 都 不 会 转发 到 其 他 VLAN 中 ,即使 是 两 台 计算 机 有 着 同样 的 网 段 ,但 是 它们 
却 没 有 相同 的 VLAN 号 ,它们 各 自 的 广播 流 也 不 会 相互 转发 ,从 而 有 助 于 控制 流量 、 减 少 设 
备 投资 ,简化 网 络 管理 ,提高 网 络 的 安全 性 。 

VLAN 大 致 可 以 划分 为 如 下 四 类 。 


1. 根据 端口 来 划分 VLAN 


这 种 划分 方式 是 将 交换 机 的 端口 分 别 划 分 到 不 同 的 VLAN 中 ,从 而 形成 多 个 VLAN 子 
网 。 例 如 ,将 一 台 交 换 机 的 1 一 5 号 端口 划分 到 VLAN 10, 将 6 一 10 号 端口 划分 到 VLAN 20。 
同一 个 VLAN 中 的 计算 机 属于 同一 个 网 段 ,可 以 直接 通信 ,而 不 同 VLAN 之 间 的 通信 需要 通 
过 路 由 器 或 三 层 交换 机 进行 。 
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第 二 代 端 口 VLAN 技术 允许 跨越 多 台 交 换 机 的 多 个 不 同 端 口 划分 VLAN ,不 同 交 换 
机 上 的 若干 个 端口 可 以 组 成 同一 个 虚拟 网 。 

以 交换 机 端口 来 划分 网 络 成 员 , 其 配置 过 程 简 单 明 了 。 因 此 ,从 目前 来 看 ,这 种 根据 端 
口 来 划分 VLAN 的 方式 仍然 是 最 常用 的 一 种 方式 。 


2. 根据 MAC 地 址 划分 VLAN 


这 种 划分 VLAN 的 方法 是 根据 每 个 主机 的 MAC(Media Access Control ,介质 访问 控 
制 ) 地 址 来 划分 , 即 对 每 个 MAC 地 址 的 主机 都 配置 它 属 于 哪个 组 。 这 种 划分 VLAN 方法 
的 最 大 优点 就 是 当 用 户 物理 位 置 移动 时 , 即 从 一 台 交 换 机 换 到 其 他 的 交换 机 时 ,VLAN 不 
用 重新 配置 ,所 以 可 以 认为 这 种 根据 MAC 地 址 的 划分 方法 是 基于 用 户 的 VLAN, 这 种 方法 
的 缺点 是 初始 化 时 ,所 有 的 用 户 都 必须 进行 配置 ,如 果 有 几 百 个 甚至 上 千 个 用 户 的 话 , 配 置 
是 非常 累 的 。 而 且 这 种 划分 的 方法 也 导致 了 交换 机 执行 效率 的 降低 ,因为 在 每 一 台 交 换 机 
的 端口 都 可 能 存在 很 多 个 VLAN 组 的 成 员 ,这 样 就 无 法 限制 广播 包 了 。 另 外 ,对 于 使 用 笔 
记 本 电脑 的 用 户 来 说 ,他 们 的 网 卡 可 能 经 常 更 换 , 这 样 ,VLAN 就 必须 不 停 地 配置 。 


苞 注 意 :, MAC 地 址 是 识别 局 域 网 中 节点 的 标识 。 网 卡 的 MAC 地 址 是 由 网 卡 生产 
厂商 烧 入 网 卡 的 EPROM( 可 擦 写 可 编程 只 读 存 储 器 ), 它 存储 了 主机 的 地 址 ,一 般 也 是 全 
球 唯一 的 。 地 址 一 般 由 6 组 数字 、 字 母 组 成 ,比如 00-50-BA-CE-07-0C。 


3. 根据 网 络 层 划分 VLAN 


这 种 划分 VLAN 的 方法 是 根据 每 台 主 机 的 网 络 层 地 址 或 协议 类 型 (如 果 支 持 多 协议 ) 
划分 的 ,虽然 这 种 划分 方法 是 根据 网 络 地 址 ,比如 IP 地 址 ,但 它 不 是 路 由 ,与 网 络 层 的 路 由 
毫 无 关系 。 

该 方法 的 优点 是 用 户 的 物理 位 置 改变 了 ,不 需要 重新 配置 所 属 的 VLAN, 而 且 可 以 根 
据 协议 类 型 来 划分 VLAN ,这 对 网 络 管理 者 来 说 很 重要 ,另外 ,这 种 方法 不 需要 附加 的 帧 标 
签 来 识别 VLAN ,这 样 可 以 减少 网 络 的 通信 量 。 

该 方法 的 缺点 是 效率 低 ,因为 检查 每 一 个 数据 包 的 网 络 层 地 址 是 需要 消耗 处 理 时 间 的 ( 相 
对 于 前 面 两 种 方法 ) ,一 般 的 交换 机 芯片 都 可 以 自动 检查 网 络 上 数据 包 的 以 太 网 帧 头 , 但 要 让 
芯片 能 检查 IP 帧 头 ,需要 更 高 的 技术 ,同时 也 更 费时 。 当 然 , 这 与 各 个 厂商 的 实现 方法 有 关 。 


4. 根据 IP 组 播 划分 VLAN 


IP 组 播 实际 上 也 是 一 种 VLAN 的 定义 , 即 认 为 一 个 组 播 组 就 是 一 个 VLAN, 这 种 划分 
的 方法 将 VLAN 扩大 到 了 广域网 ,因此 ,这 种 方法 具有 更 大 的 灵活 性 ,而 且 也 很 容易 通过 路 
由 器 进行 扩展 ,当然 这 种 方法 不 适合 局 域 网 ,主要 是 效率 不 高 。 


7.2.3 VLAN 的 主要 用 途 


在 企业 网 络 刚刚 兴起 之 时 ,由 于 企业 网 络 规 模 小 、 应 用 范围 的 局 限 性 、 对 Internet 接 入 
的 认识 程度 、 网 络 安全 及 管理 的 贫乏 等 原因 ,使 得 企业 网 仅仅 限于 交换 模式 的 状态 。 当 工作 


oy 
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站 的 数量 较 多 ,信息 流 很 大 的 时 候 , 就 容易 形成 广播 风暴 ,其 者 造成 网 络 瘫痪 。 

在 采用 交换 技术 的 网 络 模式 中 ,对 于 网 络 结构 的 划分 采用 的 仅仅 是 物理 网 段 的 划分 的 
手段 。 这 样 的 网 络 结构 从 效率 和 安全 性 的 角度 来 考虑 都 是 有 所 欠缺 的 ,而 且 在 很 大 程度 上 
限制 了 网 络 的 灵活 性 。VLAN 对 于 一 个 规模 较 大 的 企业 的 网 络 应 用 ,具有 对 不 同 职能 部 门 
的 管理 .安全 和 整体 网 络 的 稳定 运行 的 优点 。 

使 用 VLAN 具有 以 下 优点 。 


1. 控制 广播 风暴 


一 个 VLAN 就 是 一 个 逻辑 广播 域 ,通过 对 VLAN 的 创建 ,隔离 了 广播 ,缩小 了 广播 范 
围 ,可 以 控制 广播 风暴 的 产生 。 


2. 提高 网 络 的 安全 性 


由 于 不 同 VLAN 间 不 可 以 直接 通信 ,要 实现 通信 必须 通过 具有 网 络 层 交 换 功能 的 路 由 
器 或 第 三 层 交 换 机 。 采 用 VLAN 提供 的 安全 机 制 , 可 以 限制 特定 用 户 的 访问 ,甚至 锁定 网 
络 成 员 的 MAC 地 址 ,从 而 限制 了 未 经 许可 的 用 户 对 网 络 的 访问 ,所 以 在 一 定 程度 上 提高 了 
网 络 的 安全 性 。 


3. 网 络 管理 简单 直观 


对 于 交换 式 以 太 网 ,如 果 对 某 些 用 户 重新 进行 网 段 分 配 ,需要 网 络 管理 员 对 网 络 系统 的 
物理 结构 重新 进行 调整 ,甚至 需要 追加 网 络 设备 , 增 大 网 络 管理 的 工作 量 。 而 对 于 采用 
VLAN 技术 的 网 络 来 说 ,一 个 VLAN 可 以 根据 部 门 职能 .对 象 组 或 者 应 用 将 不 同 地 理 位 置 
的 网 络 用 户 划分 为 一 个 逻辑 网 段 。 在 不 改动 网 络 物理 连接 的 情况 下 可 以 任意 地 将 工作 站 在 
工作 组 或 子 网 之 间 移 动 。 利 用 虚拟 网 络 技术 ,大 大 减轻 了 网 络 管理 和 维护 工作 的 负担 ,降低 
了 网 络 维护 费用 。 在 一 个 交换 网 络 中 ,VLAN 提供 了 网 段 和 机 构 的 弹性 组 合 机 制 。 


7.3 单一 交换 机 VLAN 的 配置 


在 一 台 交 换 机 上 进行 VLAN 的 划分 及 配置 ,是 通过 划分 VLAN 网 段 对 网 络 进行 隔离 
的 最 简单 .最 基本 的 形式 。 
搭建 如 图 7-3 所 示 网 络 环境 ,PC0、PCl 和 PC2 三 台 


计算 机 分 别 连接 到 交换 机 的 1 号 .6 号 和 15 号 端口 。 使 用 “区 SN 

Console 控制 台电 缆 将 交换 机 的 控制 台 端 口 (Console 端 TO 

口 ) 与 PC0 的 COMI1 或 COM2 串 行 接口 相连 。 全 辕 
在 PC0 上 选择 [开始 ] 伙 程序 ] 人 附件 ] 人 通信 ] 人 K 超 Pel oy 

级 终端 命令 ,配置 并 运行 超级 终端 程序 。 连 接 交换 机 , 开 和 


始 交 换 机 的 加 电 启动 。 然 后 登录 交换 机 ,就 可 以 进行 交换 
机 的 配置 了 。 详 细 步 骤 如 下 。 


1. 给 交换 机 命名 并 设置 登录 密码 
为 了 管理 的 方便 ,可 以 给 交换 机 起 名 字 。 为 了 保障 安全 性 ,可 以 设置 交换 机 控制 台 的 用 


人 
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Da 
> 


户 级 登录 密码 和 进入 特权 模式 的 密码 。 
(1) 当 用 户 登录 交换 机 时 ,所 处 的 命令 执行 模式 为 用 户 EXEC 模式 ,在 此 模式 下 执行 
enable 命令 进入 特权 EXEC 模式 。 


Switch> enable 

(2) 在 特权 模式 下 ,执行 Configure terminal 命令 进入 全 局 配置 模式 。 
Switch# Configure terminal 

(3) 给 交换 机 起 名 字 为 SWA。 

Switch (config)#hostname SWA 


(4) 设置 交换 机 控制 台 的 用 户 级 登录 密码 和 进入 特权 模式 的 密码 。 
设置 控制 台 的 用 户 级 登录 密码 为 cisco 


SWA (config)#1ine console 0 
SWA (config- line)#password cisco 


! 使 所 设置 的 密码 起 效 


SWA (config- Line)# 1ogin 
SWR (config- line)#exit 


@ 设置 进入 特权 模式 的 密码 为 ciscoen 


SWA (config)#enable passwore ciscoen 
或 者 SWA (config)#enable secret ciscoen 


其 中 ,enable secret 命令 设置 的 密码 在 配置 文件 中 是 加 密 保存 的 ,强烈 推荐 采用 该 方 
式 ; 而 enable passwore 命令 所 设置 的 密码 在 配置 文件 中 采用 明文 保存 。 


2. 显示 VLAN 配置 信息 
回 到 特权 模式 下 执行 show vlan 命令 ,可 以 查看 交换 机 的 VLAN 配置 信息 (图 7-4) 。 


SWA # show vlan 


SWA#show vlan 


fa0/1v 本 ， fa0/4d 
fa0/s, fa0/6, fa0/7, ta0/8 
fa0/9, fa0/10, fa0/ll, fa0/12 


fa0/13, fa0/14, fa0/15, fa0/16 
£a0/17, fa0/18, fa0/19, fa0/20 
fa0/21, fa0/22, fa0/23, fa0/24 


1002 fddi-default active 
1003 token-ring-default active 
1004 fddinet-default active 
1005 trnet-default active 


图 7-4 显示 输出 的 VLAN 配置 信息 


网 络 安全 技术 案例 教程 


默认 情况 下 ,交换 机 会 自动 创建 和 管理 VLAN 1, 所 有 交换 机 端口 默认 属于 VLAN 1， 
用 户 不 能 删除 该 VLAN。 

提示 : 在 这 种 配置 下 ,网 络 中 的 任意 两 台 PC 都 是 互通 的 ,可 以 使 用 Ping 命令 来 验 
证 这 一 点 。 

用 户 所 创建 的 VLAN 应 从 2 开始 ,另外 ,交换 机 保留 使 用 了 VLAN 1002 一 VLAN 1005 
这 四 个 VLAN。 最 多 可 创建 的 VLAN 数 ,受到 交换 机 硬件 条 件 限制 ,不 同型 号 的 交换 机 人 允 
许 用 户 创建 的 VLAN 数 不 同 。 


3. 创建 VLAN 


(1) 进入 数据 库 配置 模式 。 
SWA# vlan database 


(2) 为 交换 机 创建 id 号 为 2、5 的 两 个 VLAN,VLAN 的 名 字 分 别 为 student 和 
teacher。 然 后 退出 VLAN 数据 库 配 置 模式 。 


SWA (vlan)#vlan 2 name Student 
SWRA(vlan)#Vlan 5 name teacher 
SWA (vlan)#exit 


4. 划分 VLAN 端口 


VLAN 的 创建 可 以 在 任意 一 台 工 作 在 VTP Server 模式 的 交换 机 上 进行 ,但 要 将 端口 
划分 给 某 个 VLAN, 则 必须 在 该 端口 所 在 的 交换 机 上 进行 。 要 将 一 个 端口 设置 为 某 个 
VLAN 的 成 员 ,首先 应 选择 该 端口 ,然后 在 端口 配置 模式 ,通过 以 下 命令 实现 。 

例如 ,将 fo/1 一 fo/5 ,fo/15 六 个 端口 分 配 到 VLAN 2 ,将 fo/6 一 fo/10 五 个 端口 划分 到 
VLAN 5。 配置 步 骤 如 下 : 

(1) 在 特权 模式 下 ,执行 Configure terminal 命令 进入 全 局 配置 模式 。 


SWA # configure terminal 
(2) 执行 interface 命令 进入 端口 配置 模式 ,选择 相关 端口 。 

SWA (config)# interface range fa0/15 

(3) 将 端口 设置 为 访问 连接 端口 (大 多 数 交 换 机 的 端口 默认 为 访问 连接 端口 ) 。 
SWA (config- if)# switchport mode access 

(4) 将 端口 划分 到 相应 VLAN 中 ,退回 到 上 一 级 模式 。 


SWA (config- if)# switchport access vlan 2 
SWA (config- if)#exit 


(5) 通过 使 用 range 关键 字 ,将 一 个 端口 范围 划分 到 VLAN。 


SWA (config)# interface range fa0/1-5 
SWA (config- if- range)## Switchport mode access 
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SWA (config- if- range)#switchport access vlan 2 
SWA (config- if- range)#exit 

SWA (config)#interface range fa0/6-10 

SWA (config- if- range)#switchport mode access 
SWA (config- if- range)#switchport access vlan 5 


(6) 执行 end 命令 可 以 直接 退回 到 特权 模式 。 
SWR (config- if- range)#end 
(7) 执行 show vlan 命令 ,可 以 看 到 输出 的 VLAN 配置 信息 (图 7-5 


SWA#show vlan 


default active a ,fa , fa0/14 
fa0/17, £ , fa0/19 
fa0/21, , fa0/23 
Gigl/1, Gigl/2 


student active , fa0/2, fa0/3, fa0/4 
，fa0/15 
teacher active a0 £a0/7, fa0/8, Fa0/9 


2 fddi-default active 
token-ring-default active 
fddinet -default active 
trnet-default active 


图 7-5 创建 VLAN 后 的 VLAN 配置 信息 


5. 保存 配置 


所 有 配置 修改 完毕 后 ,必须 退 到 特权 模式 下 ,使 用 write 命令 保存 。 否 则 ,交换 机 断 电 
重启 后 ,所 做 的 配置 修改 无 效 。 


SWR # Write 


6. 测试 


(1) 测试 VLAN 内 PC 之 间 的 连通 性 。PC0 和 PC2 都 属于 VLAN 2 ,使 用 Ping 命令 可 
以 看 到 它们 是 互通 的 (图 7-6) 。 

(2) 测试 VLAN 间 PC 之 间 的 连通 性 。PC0 与 PC1 属于 不 同 的 VLAN ,使 用 Ping 命 
令 可 以 看 到 它们 是 不 连通 的 (图 7-7) ,说 明 通过 使 用 VLAN 实现 了 不 同 子 网 间 的 隔离 (不 同 
VLAN 间 的 通信 必须 通过 路 由 器 或 第 三 层 交 换 机 ) 。 


Pinging 


PC>ping 192 


Pinging 


d trip 上 ia 


Hinimun HMaximum 


图 7-6 ”Ping 成 功 的 输出 图 7-7 Ping 不 成 功 的 输出 
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区 注意 : 属于 同一 VLAN 的 PC, 其 IP 地 址 应 设置 为 同一 网 段 。 如 PC0 的 IP 地 
址 设 为 : 192. 168. 2. 100/24,PC2 的 IP 地 址 设 为 : 192. 168. 2. 102/24。 而 属于 不 同 
VLAN 的 PC, 其 IP 地 址 应 设置 为 不 同 的 网 段 ,如 PC1 的 IP 地 址 设 为 : 192. 168. 5. 
101/24。 


7. 删除 VLAN 


若 要 删除 已 创建 的 VLAN ,删除 之 前 ,必须 先 将 属于 该 VLAN 的 端口 删除 (删除 的 端 
口 自动 划分 回 VLAN 1 中 ) ,和 否则 会 出 现 端口 消失 的 情况 。 如 删除 VLAN 5, 操 作 步 骤 
如 下 。 

(1) 删除 VLAN 5 中 的 端口 。 


SWA (config)# interface range fa0/6- 10 
SWA (config- if- range)# no Switchport access vlan 5 


(2) 退出 端口 配置 模式 ,进入 VLAN 数据 库 管理 模式 。 


SWA (config- if- range)#end 
SWA# vlan database 


(3) 执行 no vlan 5 命令 将 vlan 5 从 数据 库 中 删除 。 
SWA (vlan)#no vlan 5 


(4) 执行 exit 命令 退出 VLAN 数据 库 配 置 模式 ,在 特权 模式 下 ,执行 show vlan 命令 可 
以 看 到 vlan 5 已 被 删除 ,端口 fo/6 一 fo/10 重新 划分 回 vlan 1 中 (图 7-8)。 


SWA#show vlan 
Status 
default active fa0/6, fa0/7, fa0/8, ta0/9 


£a0/10, fa0/ll, fa0/12, fa0/13 
fa0/14, fa0/16, fa0/17, fa0/18 


fa0/19, fa0/20, fa0/21, fa0/22 
£a0/23, fa0/24, Gigl/1, Cigl/2 

2 student active 。 fa0/l, fa0/2, fa0/3, fa0/4 
fa0/5, fa0/15 


1002 fddi-default active 
1003 token-ring-default active 
1004 fddinet -default active 
1005 trnet-default active 


图 7-8 删除 VLAN 5 后 的 VLAN 配置 信息 


7.4 ” 跨 交 换 机 VLAN 的 配置 
在 多 台 交 换 机 上 进行 VLAN 的 划分 及 配置 ,是 通过 划分 VLAN 网 段 对 网 络 进行 隔离 


的 最 常用 、 较 复杂 的 形式 。 下 面 通过 对 一 个 具体 项 目的 分 析 与 设计 来 学 习 跨 交换 机 VLAN 
的 设计 思路 及 配置 。 
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7.4.1 VTP 简介 


VTP(VLAN Trunking Protocol, VLAN 链 路 聚集 协议 ) 是 一 个 在 建立 了 汇聚 链 路 的 交 
换 机 之 间 同 步 和 传递 VLAN 配置 信息 的 协议 ,以 在 同一 个 VTP 域 中 维持 VLAN 配置 的 一 
致 性 。 在 创建 VLAN 之 前 ,应 先 定义 VTP 管理 域 。 


1. VTP 工作 模式 


VTP 有 Server( 服 务 器 ) .Client( 客 户 端 ) 和 Transparent( 透 明 ) 三 种 工作 模式 。 

(1) Server 模式 下 的 交换 机 允许 创建 ,修改 和 删除 本 地 VLAN 数据 库 中 的 VLAN ,多 
许 设置 一 些 对 整个 VTP 域 的 配置 参数 。 这 些 操作 将 传递 到 VTP 域内 所 有 处 于 Server 或 
Client 模式 的 其 他 交换 机 ,以 实现 对 VLAN 信息 的 同步 。 

(2) Client 模式 下 的 交换 机 不 能 创建 .修改 和 删除 VLAN ,主要 通过 VTP 域内 其 他 交 
换 机 的 VLAN 配置 信息 来 同步 和 更 新 自己 的 VLAN 配置 。 

(3) Transparent 模式 下 的 交换 机 也 允许 创建 ,修改 和 删除 本 地 VLAN 数据 库 中 的 
VLAN, 但 与 Server 模式 不 同 的 是 ,对 VLAN 配置 的 变化 ,不 会 传播 给 其 他 交换 机 ( 仅 对 本 
机 有 效 )。 因 此 ,工作 于 Transparent 模式 的 交换 机 不 需要 事先 创建 VTP 管理 域 。 


2. 创建 VTP 管理 域 

(1) 创建 VTP 管理 域 。 

Q@ 在 特权 模式 下 ,执行 vlan database 命令 进入 数据 库 配置 模式 。 

Switch# vlan database 

@ 在 数据 库 配置 模式 下 ,执行 vtp domain 命令 创建 名 为 manager 的 管理 域 。 
Switch (vlan)#vtp domain manager 

(2) 设置 VTP 模式 。 如 设置 VTP 的 工作 模式 为 Server。 

Switch (vlan)#vtp server 

(3) 执行 exit 命令 退出 VLAN 数据 库 配 置 模式 。 

Switch (vlan)#exit 


(4) 查看 VTP 信息 。 在 特权 模式 下 ,执行 show vtp status 命令 可 以 查看 VTP 的 状态 
信息 (图 7-9) 。 


Switch# show vtp status 


VTP 管理 域 不 仅 可 以 在 VLAN 数据 库 中 创建 ,也 可 以 在 全 局 配置 模式 下 创建 ,在 全 局 
模式 下 创建 的 方法 如 下 。 


Switch# configure terminal 
Switch (config)#vtp domain manager 


二 
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Switch (config)#vtp mode server 
Switch (config)#exit 


Switchgshow vep status 
VIP Version 和 
Configuration Revision :0 
Haximum VLANs supported locally : 255 


Number of existing VLANs 3 
YIP Operating Node : Server 
TVTP Donain Name : manager 


VIP pruning Hode : Disabled 

VIP V2 Mode : Disabled 

VIP Traps Generation : Disabled 

DS digest : OxDE Ox28 Ox72 Ox50 Ox9A Ox09 OxAA Ox7F 
Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00 

Local updater ID is 0.0.0.0 (no valid interface found) 


图 7-9 显示 输出 的 VTP 状态 信息 


7.4.2 项 目 背 景 及 方案 设计 


1. 项 目 背景 
某 公司 有 计算 机 约 50 台 , 设 置 了 信息 处 、 销 售 处 和 财务 处 三 个 部 门 , 各 部 门 的 地 理 位 置 


如 图 7-10 所 示 。 该 公司 需要 建立 内 部 网 络 ,要 求 如 下 : 


(1) 各 部 门 内 部 计算 机 终端 之 间 能 够 直接 通信 。 
(2) 各 部 门 之 间 数据 信息 具有 一 定 的 独立 性 。 = 
(3) 公司 内 所 有 计算 机 都 能 够 访问 互联 网 。 财务 处 1 “财务 处 2 ”销售 处 2 

(4) 财务 处 的 数据 必须 受到 严格 保护 , 非 授权 人 员 不 二 楼 


能 访问 。 会 议案 ”信息 处 ”销售 处 1 
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(5) 总 经 理 兼 管 财务 处 , 副 总 经 理 兼 管 销售 处 。 加 四 图- 


(6) 网 络 设备 要 高 速 、 稳 定 运行 。 
2. 方案 设计 


根据 公司 要 求 ,设计 方案 如 下 。 

(1) 每 层 楼 配置 一 台 交 换 机 ,用 于 连接 该 楼 层 所 有 终端 设备 。 

(2) 创建 VTP 管理 域 ,为 每 一 个 部 门 创建 一 个 VLAN。 

(3) 在 交换 机 上 划分 VLAN ,进行 跨 交换 机 VLAN 的 配置 .实现 各 VLAN 内 部 计算 机 


图 7-10 各 部 门 地 理 位 置 


终端 能 相互 通信 。 


(4) 给 各 VLAN 创建 虚拟 子 端口 IP 地 址 ,实现 VLAN 间 的 通信 。 
(5) 使 用 路 由 器 连接 到 Internet。 

(6) 方案 的 网 络 拓扑 图 如 图 7-11 所 示 。 

(7) 各 部 门 IP 地 址 规划 和 各 设备 端口 规划 如 表 7-4 和 表 7-5 所 示 。 
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, | 
人 
9g 
PR 
2960-24TT 2960-24TT 
ASWA NA /SWB \ 
时 时 旦 
PC-PT [7 PC-PT 
PC2 PC3 PC4 PC5 
图 7-11 网 络 拓 扑 图 
表 7-4 各 部 门 IP 地 址 规划 
部 门 名 称 地 址 空间 所 属 VLAN ee 示例 PC 名 称 
总 经 理 192. 168. 5. 100/24 VLAN 30 192. 168. 5. 1/24 PC0 
副 总 经 理 192. 168. 3. 101/24 VLAN 20 192. 168. 3. 1/24 PC1 
财务 处 192. 168. 5. 0/24 VLAN 30 192. 168. 5. 1/24 PC4 
信息 处 192. 168. 2. 0/24 VLAN 10 192. 168. 2. 1/24 PC2 、PC6 
销售 处 192. 168. 3. 0/24 VLAN 20 192. 168. 3. 1/24 PC3.PC5 
表 7-5 各 设备 端口 规划 
设备 名 称 端 口 用 途 端口 类 型 
FastEthernet 0/0 连接 CORE 路 由 端口 
FastEthernet 0/1 连接 远程 分 支 机 构 路 由 端口 
FastEthernet 0/1-5 连接 用 户 PC Access 端口 ,VLAN 10 
FastEthernet 0/11 连接 总 经 理 PC Access 端口 ,VLAN 30 
_、 FastEthernet 0/12 连接 副 总 经 理 PC Access 端口 ,VLAN 20 
SS FastEthernet 0/22 连接 SWB Trunk 端口 
FastEthernet 0/23 连接 SWA Trunk 端口 
FastEthernet 0/24 连接 RO 三 层 交 换 端口 
FastEthernet 0/1-5 连接 用 户 PC Access 端口 ,VLAN 10 
SWA FastEthernet 0/6-10 连接 用 户 PC Access 端口 ,VLAN 20 
FastEthernet 0/24 连接 CORE Trunk 端口 
FastEthernet 0/1-5 连接 用 户 PC Access 端口 .VLAN 30 
SWB FastEthernet 0/6-10 连接 用 户 PC Access 端口 .VLAN 20 
FastEthernet 0/24 连接 CORE Trunk 端口 
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7.4.3 VLAN 配置 步骤 


搭建 如 图 7-11 所 示 网 络 环境 ,实现 跨 交 换 机 VLAN 配置 步骤 如 图 7-12 所 示 。 


下 面 详细 介绍 实现 步骤 。 Ee 
1. 配置 核心 交换 机 DRMRT 
CD 创建 VTP 管理 域 。 创建 VTP 管理 | 一 
域 通常 在 核心 交换 机 上 进行 ,其 工作 模式 设置 | 
为 Server。 其 他 分 支 交换 机 通常 配置 为 Client 一 
模式 ,它们 从 核心 交换 机 中 获取 VTP 信息 。 站 加 入 VTP 管 理 域 
因此 ,在 Cisco 3560 三 层 交 换 机 (CORE) [配置 分 赤 换 机 ee 
上 创建 VTP 管理 域 ,步骤 如 下 : | 
Q@ 设置 三 层 交换 机 名 字 为 CORE。 配置 路 由 器 配置 端口 人 PP 地 址 
Switch> enable PC IP 地 址 、 子 网 掩 码 、 网 关 
Switch# configure terminal 
Switch (config)#hostname CORE 测试 


@ 设置 控制 台 的 用 户 级 登录 密码 和 进入 图 7-12 跨 交换 机 VLAN 配置 步骤 


特权 模式 的 密码 。 根 据 公司 需求 ,财务 处 的 数 
据 必 须 受 到 严格 保护 , 非 授权 人 员 不 能 访问 。 因 此 ,对 交换 机 设置 控制 台 的 用 户 级 登录 密码 
和 进入 特权 模式 的 密码 。 


。 设置 控制 台 的 用 户 级 登录 密码 为 cisco。 


CORE (config)#1ine console 0 

CORE (config- line)#password cisco 
CORE (config- Line)# login 

CORE (config- line)#exit 


设置 进入 特权 模式 的 密码 为 ciscoen。 


CORE (config)# enable secret ciscoen 
@ 创建 域名 为 manager 的 VTP 管理 域 ,其 工作 模式 为 Server。 


CORE (config)#vtp domain manager 
CORE (config)#vtp mode server 
CORE (config)#exit 


(2) 创建 VLAN。 分 别 为 信息 处 、 销 售 处 和 财务 处 创建 VLAN,VLAN 的 id 号 分 别 为 


10、20 和 30,VLAN 名 分 别 为 info、sale 和 fina。 


CORE# vlan database 

CORE (vlan)#vlan 10 name info 
CORE (vlan)#vlan 20 name sale 
CORE (vlan)#vlan 30 name fina 
CORE (vlan)#exit 
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(3) 配置 端口 
Q@ 配置 各 VLAN 端口 。 根 据 表 7-5 的 端口 规划 ,将 相应 端口 划分 到 各 VLAN 中 。 


CORE# configure terminal 

CORE (config)# int range £0/1-5 

CORE (config- if- range)# switchport mode access 
CORE (config- if- range)# switchport access vlan 10 
CORE (config- if- range)#exit 

CORE (config)#int £0/11 

CORE (config- if)#switchport mode access 

CORE (config- if)# switchport access vlan 30 
CORE (config- if)#exit 

CORE (config)# int f0/12 

CORE (config- if)# Switchport mode access 

CORE (config- if)# Switchport access vlan 20 
CORE (Config- if)#exit 


@ 配置 其 他 端口 。 
。 配置 {0/24 为 三 层 交 换 端口 ,其 IP 地 址 为 : 172. 16. 1.1/30, 用 于 连接 R0 路 由 器 。 


CORE (config)#int f0/24 

! 设 置 为 三 层 交 换 端口 

CORE (config- if)#no Switchport 

! 启 用 该 端口 

CORE (config- if)#no shutdown 

CORE (config- if)#ip address 172.16.1.1 255.255.255.252 
CORE (config- if)#exit 


。 配置 {0/22 端口 和 fo/23 端口 为 Trunk 端口 ,用 于 连接 分 支 交换 机 。 


CORE (config)# int £0/22 -23 

! 设 置 所 选 端口 为 Trunk 端口 

CORE (config- if)# switchport mode trunk 
CORE (config- if)#exit 


(4) 实现 VLAN 间 通 信 。VLAN 间 要 实现 相互 通信 ,必须 在 三 层 交 换 机 上 为 每 一 个 


VLAN 创建 一 个 虚拟 子 端 口 ,并 设置 端口 的 IP 地 址 ,这 样 就 可 以 实现 虚拟 子 端口 之 间 的 路 
由 ,从 而 实现 VLAN 间 的 通信 。 


! 选 择 vlan 

CORE (config)# int vlan 10 

! 配 置 端口 的 IP 地 址 

CORE (config- if)# ip address 192.168.2.1 255.255.255.0 
CORE (config- if)#exit 

CORE (config)# int vlan 20 

CORE (config— if)# ip address 192.168.3.1 255.255.255.0 
CORE (config— if)#exit 

CORE (config)#int vlan 30 

CORE (config- if)#ip address 192.168.5.1 255.255.255.0 
CORE (config- if)#end 

CORE #write 
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2. 配置 分 支 交换 机 


(1) 配置 左边 Cisco 2960 交换 机 (SWA) 
Q@ 加 入 VTP 管理 域 。 


Switch>en 

Switch# conf terminal 

Switch (config)#hostname SWA 
SWA (config)#exit 

! 加 入 vtp 管 理 域 

SWA (config)#vtp domain manager 
! 设 置 为 client 模式 

SWA (config)#vtp mode Client 


@ 配置 端口 。 


SWA (config)#int range £0/1-5 

SWA (config- if- range)# switchport mode access 
SWA (config- if- range)# switchport access vlan 10 
SWA (config- if- range)#exit 

SWA (config)# int range f0/6- 10 

SWA (config- if- range)# switchport mode access 
SWA (config- if- range)# switchport access vlan 20 
SWA (config- if- range)#exit 

SWA (config)# int £0/24 

! 配 置 为 rrunk 端口 ,用 于 连接 核心 交换 机 

SWB (config- if)#switchport mode Trunk 

SWA (config- if)#end 

SWA# write 


(2) 配置 右边 Cisco 2960 交换 机 (SWB) 
@ 加 入 VTP 管理 域 。 


Switch>en 

Switch# conf terminal 

Switch (config)#hostname SWB 
SWB (config)#vtp domain manager 
SWB (config)#vtp mode client 


@ 配置 端口 。 


SWB (config)# int range £0/1-5 

SWB (config- if- range)# switchport mode access 
SWB (config- if- range)# Switchport access vlan 30 
SWB (config- if- range)#exit 

SWB (config)#int range £0/6-10 

SWB (config- if- range)# switchport mode access 
SWB (config- if- range)#switchport access vlan 20 
SWB (config- if- range)#exit 

SWB (config)#int £0/24 

SWB (config- if)#switchport mode Trunk 
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SWB (config- if)#end 
SWB #write 


3. 配置 路 由 器 


设置 路 由 器 的 名 字 为 RO,f0/0 端口 用 于 连接 Cisco 3560 交换 机 ,其 IP 地 址 为 : 172. 
16. 1.2/30,f0/1 端口 用 于 连接 Internet。 

Router> enable 

Router# conf terminal 

Router (config)#hostname RO 

RO (config)# int £0/0 

! 启 用 端口 

RO (config- if)#no shutdown 

RO (config- if)#ip address 172.16.1.2 255.255.255.252 

RO (config- if)#exit 

RO (config)# int £0/1 

RO (config- if)#no shutdown 

RO (config- if)#ip address 10.1.1.10 255.255.255.0 

RO (config- if)#end 

RO# write 


代表 远程 机 构 的 路 由 器 Routerl 的 配置 ,只 需 启用 其 与 RO 连接 的 端口 即 可 。 

4. 配置 各 PC 机 

根据 表 7-4 中 示例 PC 所 属地 址 空间 ,配置 各 PC 的 IP 地 址 、 子 网 掩 码 和 默认 网 关 。 
5. 测试 


(1) 测试 VLAN 内 各 PC 之 间 的 连通 性 。 对 属于 同一 VLAN 内 的 各 PC ,使 用 Ping 命 
令 来 验证 连通 性 。 结 果 是 可 以 连通 。 

(2) 测试 VLAN 间 各 主机 之 间 的 连通 性 。 对 属于 不 同 VLAN 之 间 的 各 PC, 使 用 Ping 
命令 来 验证 连通 性 。 可 以 连通 则 说 明 网 络 配置 正确 , 即 通过 配置 第 三 层 交 换 机 实现 了 
VLAN 间 的 通信 。 


匿 注意 : 路 由 器 或 第 三 层 交换 机 可 以 控制 VLAN 间 的 通信 ,可 以 灵活 配置 不 同 的 
用 户 访问 权限 ,只 对 确实 需要 的 一 方 或 双方 开放 访问 权限 ,可 以 确保 关键 子 网 的 安全 。 


(3) 测试 各 PC 与 R0 的 fo/1 端口 的 连通 性 。 在 各 PC 上 使 用 Ping 命令 测试 与 RO 路 
由 器 f0/1 端口 (IP 地 址 : 10. 1. 1. 10/24) 的 连通 性 ,可 以 连通 则 说 明 网 络 配置 正确 : 公司 内 
所 有 计算 机 都 可 以 访问 互联 网 。 


7.5 网 络 隔离 概述 


网 络 隔离 是 一 项 网 络 安全 技术 ,通过 隔离 可 以 消除 来 自 可 信 网 络 之 外 的 威胁 ,同时 能 完 
成 网 络 之 间 数 据 的 安全 交换 。 网 络 隔离 技术 与 其 他 网 络 安全 技术 不 同 , 比 如 ,防火 墙 的 作用 


到 
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是 在 保障 网 络 间 互 通 的 前 提 下 , 尽 可 能 安全 ;而 网 络 隔离 则 是 在 确保 安全 的 前 提 下 , 尽 可 能 
让 网 络 之 间 互 通 。 因 此 ,网 络 隔离 技术 弥补 了 原 有 安全 技术 的 不 足 , 有 自己 独特 的 优势 。 


7.5.1 网 络 隔离 技术 


1. 理解 网 络 隔离 


网 络 中 的 “隔离 ”与 人 们 常识 中 的 “隔离 ”其 含义 是 不 同 的 ,从 常识 中 理解 “网 络 隔离 ”会 
认为 是 将 两 个 或 两 个 以 上 的 网 络 相 互 断 开 、 不 能 通信 ,这 样 的 网 络 是 没有 实用 价值 的 。 网 络 
中 的 “隔离 ”并 不 是 网 络 间 完 全 断 开 , 而 是 隔离 不 安全 因素 ,使 受 保护 的 网 络 能 安全 地 与 外 部 
网 络 通信 。 

网 络 隔离 ,主要 是 指 把 两 个 或 两 个 以 上 可 路 由 的 网 络 (使 用 TCP/IP 协议 ) 通 过 不 可 路 
由 的 协议 (如 IPX/SPX、NetBEUDD 进 行 数据 交换 而 达到 隔离 目的 。 由 于 其 原理 主要 是 采用 
了 不 同 的 协议 ,通常 也 叫 协议 隔离 。 

网 络 隔离 是 目前 最 好 的 网 络 安全 技术 , 它 消 除了 基于 网 络 和 基于 协议 的 安全 威胁 。 


2. 网 络 隔离 技术 分 类 


基于 网 络 安全 的 隔离 技术 主要 有 以 下 三 类 。 

(1) 物理 隔离 。 物 理 隔 离 是 通过 采用 软 、 硬 件 结合 的 方法 ,使 内 部 网 络 与 外 部 网 络 之 间 
的 设备 .数据 信息 相对 独立 。 

(2) 网 络 隔离 。 网 络 隔离 主要 指 协议 隔离 .是 利用 协议 转换 的 方法 进行 网 络 间 的 数据 
交换 。 

(3) 安全 隔离 。 安 全 隔离 主要 指 利用 专门 的 设备 实现 网 络 间 的 数据 交换 仅仅 在 应 用 层 


3. 网 络 隔 离 技 术 发 展 阶段 


网 络 隔离 技术 的 发 展 经 历 了 以 下 五 个 阶段 。 

(1) 完全 的 物理 隔离 。 采 用 完全 独立 的 设备 .存储 和 线路 来 访问 不 同 的 网 络 。 需 要 至 
少 两 套 网 络 和 系统 (一 套用 于 访问 内 部 网 络 ; 另 一 套用 于 访问 外 部 网 络 ) ,它们 之 间 是 完全 的 
物理 隔离 。 存 在 信息 交流 不 方便 和 成 本 高 的 缺点 。 

(2) 硬件 隔离 卡 隔离 。 在 客户 端 增加 一 块 硬件 卡 ,客户 端 硬盘 或 其 他 存储 设备 首先 连 
接 到 该 卡 ,然后 再 转 接 到 主板 上 ,通过 该 卡 能 选择 并 控制 客户 端 硬盘 或 其 他 存储 设备 ,实现 
不 同 网 络 的 连接 。 存 在 一 定 的 不 安全 因素 。 

(3) 数据 转播 隔离 。 利 用 转播 系统 分 时 复制 文件 的 途径 来 实现 隔离 。 切 换 时 间 非 常 
久 ,甚至 需要 手工 完成 ,无 实用 价值 。 

(4) 空气 开关 隔离 。 通 过 使 用 单刀 双 掷 开 关 , 使 得 内 外 部 网 络 分 时 访问 临时 缓存 器 来 
完成 数据 交换 。 

(5) 安全 通道 隔离 。 通 过 专用 通信 设备 、 专 有 安全 协议 和 加 密 验 证 等 安全 机 制 高 效 地 
实现 内 外 部 网 络 的 隔离 和 数据 交换 ,彻底 阻 断 了 网 络 间 的 直接 TCP/IP 连接 ,对 网 间 通 信 的 
双方 实施 身份 认证 、 内 容 过 滤 .安全 审计 等 安全 防护 ,透明 支持 多 种 网 络 应 用 ,成 为 当前 隔离 
技术 的 发 展 方向 。 
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7.5.2 网 络 隔 离 安全 要 素 


无 论 采 用 哪 种 网 络 隔离 方案 ,都 必须 满足 如 下 安全 要 素 。 
1. 隔离 产品 自身 有 较 高 的 安全 性 


网 络 隔离 产品 至 少 具备 两 套 主机 系统 ,一 套用 于 控制 外 部 网 络 ; 另 一 套用 于 控制 内 部 网 
络 ,数据 交换 是 通过 不 可 路 由 的 协议 在 两 套 主机 系统 之 间 进 行 。 因 此 ,来 自 外 部 网 络 的 威胁 
无 法 到 达 内 部 网 络 ,保障 了 内 部 网 络 的 安全 。 


2. 确保 网 络 包 不 能 到 达 受 保护 网 络 


网 络 隔离 的 关键 是 确保 网 络 包 不 能 到 达 受 保护 的 网 络 。 无 论 在 两 个 网 络 间 采 用 什么 转 
换 方式 ,只 要 网 络 包 能 够 进入 受 保护 网 络 ,就 不 能 达到 隔离 的 效果 。 即 使 将 网 络 包 转换 为 文 
本 进行 交换 也 不 行 。 

3. 只 允许 应 用 层 数据 交换 


为 了 消除 大 量 来 自 网 络 层 的 攻击 ,必须 对 数据 包 进 行 协议 分 析 , 得 到 应 用 层 数据 ,并 以 
此 数据 进行 网 络 间 交换 ,提高 受 保护 网 络 的 安全 性 。 


4. 在 确保 安全 的 前 提 下 尽 可 能 畅通 


网 络 隔离 产品 往往 部 署 在 网 络 之 间 数 据 交 换 的 关键 点 ,对 通信 流量 和 速率 有 一 定 要 求 。 
因此 ,网 络 隔离 产品 应 有 较 高 的 处 理性 能 ,不 能 成 为 网 络 交换 的 瓶颈 ;要 有 较 强 的 适应 性 ,能 
透明 地 接 人 网 络 ,透明 地 支持 多 种 应 用 。 


7.6 物理 隔离 


物理 隔离 是 指 内 部 网 络 不 得 直接 或 间接 地 连接 外 部 网 络 即 互联 网 。 物 理 隔 离 技术 通过 
中 断 内 部 网 络 与 外 部 网 络 的 连接 ,不 支持 TCP/IP 协议 ,不 依赖 于 操作 系统 ,解决 了 目前 网 
络 安全 存在 的 根本 性 问题 , 即 由 于 操作 系统 漏洞 和 TCP/IP 协议 漏洞 所 带 来 的 安全 问题 ,有 
效 地 防止 了 恶意 代码 、 病 毒 以 及 网 络 入 侵 的 发 生 , 满 足 了 网 络 安全 的 机 密 性 、 完 整 性 、 可 用 
性 、 可 控 性 和 可 审查 性 要 求 。 


7.6.1 物理 隔离 原理 


物理 隔离 设备 在 任意 时 刻 只 能 与 一 个 网 络 的 主机 系统 建立 非 TCP/IP 协议 的 数据 连 
接 , 即 当 它 与 外 部 网 络 的 主机 系统 连接 时 , 它 与 内 部 网 络 的 主机 系统 必须 是 断 开 的 ;反之 亦 
然 , 保 证 内 、 外 部 网 络 不 能 同时 连接 在 物理 隔离 设备 上 。 

通过 如 下 步骤 对 物理 隔离 原理 进行 说 明 。 

(1) 当 内 网 与 专 网 之 间 无 信息 交换 时 ,物理 隔离 设备 与 内 网 之 间 、 物 理 隔 离 设备 与 专用 
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网 之 间 、 内 网 与 外 网 之 间 是 完全 断 开 的 ,如 图 7-13 所 示 。 
(2) 当 外 网 有 数据 需要 到 达 内 网 的 时 候 ,控制 电路 控制 隔离 设备 与 外 网 服务 器 建立 非 
TCP/IP 的 数据 连接 ,如 图 7-14 所 示 。 此 时 隔离 设备 将 所 接收 的 外 网 数据 进行 协议 剥离 。 
(3) 一 旦 数据 完全 写 入 外 网 存储 设备 ,隔离 设备 在 控制 电路 的 控制 下 立即 中 断 与 外 网 
的 连接 , 转 而 发 起 对 内 网 的 非 TCP/IP 协议 的 数据 连接 ,如 图 7-15 所 示 。 然 后 将 存储 在 外 网 
存储 设备 中 的 数据 转发 给 内 网 存储 设备 。 内 网 收 到 数据 后 ,立即 进行 TCP/IP 协议 和 其 他 
应 用 协议 的 封装 ,并 交 给 应 用 系统 。 


— NW_f9 | 存储 本 
OD $m CD 设 
二 
图 7-13 内 外 网 没有 通信 请 求 “图 7-14 外 网 向 内 网 发 起 非 图 7-15 内 网 转发 数据 
时 为 断 开 状态 TCP/IP 连接 


(4) 在 控制 台 收 到 完整 的 交换 信号 之 后 ,控制 电路 控制 隔离 设备 立即 切断 隔离 设备 与 
内 网 的 连接 ,又 回 到 如 图 7-13 所 示 的 内 外 网 完全 断 开 状态 。 这 样 就 完成 了 外 网 向 内 网 发 送 
数据 的 全 过 程 。 

(5) 如 果 这 时 内 网 有 文件 需要 发 出 ,隔离 设备 在 收 到 内 网 建立 连接 的 请 求 之 后 ,控制 电路 
控制 隔离 设备 建立 与 内 网 之 间 的 非 TCP/IP 协议 的 数据 连接 ,如 图 7-16 所 示 。 隔 离 设 备 剥 离 
所 有 的 TCP/IP 协议 和 其 他 应 用 协议 只 接收 原始 的 数据 ,将 数据 写 入 外 网 专用 存储 设备 中 。 

(6) 当 数 据 完全 写 入 内 网 专用 存储 设备 后 ,控制 电路 控制 隔离 设备 立即 中 断 与 内 网 的 
连接 ,如 图 7-17 所 示 。 转 而 发 起 对 外 网 的 非 TCP/IP 协议 的 数据 连接 ,内 网 存储 设备 中 的 
数据 转发 到 外 网 专用 存储 设备 。 外 网 收 到 数据 后 ,立即 进行 TCP/IP 的 封装 ,并 交 给 系统 向 
外 发 送 。 


图 7-16 内 网 向 外 网 发 起 非 TCP/1P 连接 图 7-17 向 外 网 转发 数据 


(7) 在 所 有 的 数据 发 送 完成 后 ,控制 电路 就 会 控制 隔离 设备 立即 中 断 隔 离 设备 与 外 网 
的 连接 ,恢复 到 如 图 7-15 所 示 的 完全 隔离 状态 。 这 样 就 完成 了 一 次 完整 的 内 网 向 外 网 发 送 
数据 的 全 过 程 。 

每 一 次 数据 交换 ,隔离 设备 都 经 历数 据 的 接收 存储 和 转发 三 个 过 程 。 物 理 隔 离 的 一 个 
特征 就 是 内 网 与 外 网 总 是 不 连接 的 ,内 网 和 外 网 在 同一 时 间 最 多 只 有 一 个 与 隔离 设备 建立 
非 TCP/IP 协议 的 数据 连接 。 其 数据 传输 机 制 是 存储 和 转发 。 物 理 隔 离 的 优点 是 明显 的 ， 
即使 外 网 在 最 坏 的 情况 下 ,内 网 也 不 会 受 任何 影响 ,修复 外 网 系统 也 非常 容易 。 

常见 的 物理 隔离 产品 主要 有 物理 隔离 卡 和 物理 隔离 网 间 , 下 面 分 别 介绍 。 
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7.6.2 物理 隔离 卡 


1. 物理 隔离 卡 


物理 隔离 卡 是 物理 隔离 的 低级 实现 形式 ,一 个 物理 隔离 卡 只 能 管 一 台 个 人 计算 机 ,甚至 只 
可 能 在 Windows 环境 下 工作 ,每 次 切换 都 需要 开关 机 一 次 。 物 理 隔 离 网 闸 是 物理 隔离 的 高 级 
实现 形式 ,网 闸 可 以 管理 整个 网 络 ,不 需要 开关 机 。 网 疗 实现 后 ,原则 上 不 再 需要 物理 隔离 卡 。 
安全 隔离 是 一 种 多 辑 隔离 ,防火 墙 就 是 一 种 逻辑 隔离 ,因此 防火 墙 也 是 一 种 安全 隔离 。 有 些 厂 
商 对 安全 隔离 增加 了 一 些 特点 ,如 采用 了 双 主 机 结构 ,但 双 主 机 之 间 却 是 通过 包 来 转发 的 。 


2. 物理 隔离 卡 产 品 : ZSD-32S 单 硬盘 物理 隔离 卡 


ZSD-32S 单 硬盘 物理 隔离 卡 系列 是 宙斯 盾 公 司 研制 的 拥有 自主 产权 的 新 一 代 网 络 安全 
物理 隔离 产品 (图 7-18) 。 隔 离 卡 实现 将 一 台 计算 机 虚拟 分 成 两 台 相 对 独立 的 计算 机 ,硬盘 
安全 部 分 连接 内 网 ,硬盘 公共 部 分 连接 外 网 ,通过 内 外 
网 切换 实现 了 物理 隔离 ,确保 内 网 信息 安全 和 连接 公 
共 网 络 。 外 网 接 入 满足 专线 、 宽 带 `.ADSL 等 多 种 上 网 
方式 ,采用 启动 界面 选择 .桌面 切换 软件 等 网 络 切换 方 
式 , 方 便 使 用 。 实 现 了 单机 到 网 络 的 隔离 ,在 保证 安全 
的 基础 上 ,用 户 可 分 时 连接 两 套 安全 要 求 不 同 的 网 络 。 
保护 CMOS 和 BIOS 信息 不 被 算 改 ,从 硬件 上 避免 内 
网 数据 的 安全 隐患 。 实 现 了 从 内 网 到 外 网 的 身份 认 ee 
证 ,内 外 网 实行 不 同 权 限 的 管理 。 | 


7.6.3 物理 隔离 网 闸 


1. 物理 隔离 网 闸 


物理 隔离 网 闻 主 要 由 内 网 处 理 单元 .外 网 处 理 单元 .安全 隔离 与 信息 交换 处 理 单元 三 部 
分 组 成 。 外 网 处 理 单元 与 外 网 (如 Internet) 相 连 , 内 网 处 理 单元 与 内 网 (如 军队 网 ) 相 连 ; 安 
全 隔离 与 信息 交换 处 理 单元 通过 专用 硬件 断 开 内 、 外 网 的 物理 连接 ,并 在 任何 时 刻 只 与 其 中 
一 个 网 络 连 接 , 读 取 等 待 发 送 的 数据 ,然后 “推送 ?到 另 一 个 网 络 上 。 在 切换 速度 非常 快 的 情 
况 下 ,可 以 实现 信息 的 实时 交换 。 


2. 物理 隔离 网 闸 产 品 


常见 的 物理 隔离 产品 有 以 下 几 种 。 

(1) 联想 网 御 SIS-3000 系列 安全 隔离 网 逆 。 联 想 网 御 SIS-3000 系列 安全 隔离 网 闸 作 
为 网 络 链 路 层 物 理 隔 离 设备 (图 7-19), 具 有 比 防火 墙 更 高 的 安全 性 能 。 可 在 涉 密 网 络 之 
间 、 涉 密 网 络 不 同安 全 域 之 间 、 涉 密 网 络 与 内 部 网 之 间 、 内 部 网 与 互联 网 之 间 信 任 的 进行 信 
息 交换 。 适 用 于 政府 、 军 队 金融 等 单位 的 网 间 非 实时 信息 交换 环境 。 
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联想 网 御 SIS-3000 具有 高 速 电 子 开关 和 专 有 协议 ,确保 内 外 网 在 任意 时 刻 物 理 隔 离 , 通 
过 领先 的 信息 摆渡 机 制 ,提高 数据 传输 的 安全 性 ;采用 多 种 安全 技术 ,支持 可 信 的 专用 信息 交 
换 服 务 ; 使 用 高 速 安全 隔离 电子 开关 ,支持 毫秒 级 高 速 切换 ;自主 的 嵌入 式 安 全 操作 系统 ,有 效 
保证 了 系统 自身 安全 性 ;支持 包括 文件 交换 .邮件 交换 和 数据 库 同步 在 内 的 多 种 应 用 。 

(2) 天 行 安全 隔离 网 曾 (Topwalk-GAP)。 作 为 国内 GAP 领域 的 倡导 者 和 领先 者 ,天 
行 安全 隔离 网 间 (Topwalk-GAP) 一 直 以 其 创新 实用 性 ` 安 全 可 靠 性 得 到 了 广大 用 户 的 青睐 


(图 7-20) 。 


图 7-19 联想 网 御 SIS-3000 图 7-20 Topwalk-GAP 


Topwalk-GAP 作为 国内 基于 GAP 技术 的 新 一 代 安 全 隔离 与 信息 交换 产品 ,能 够 实现 
隔离 网 络 间 异 构 数 据 库 交 换 。 该 产品 的 基本 模块 作为 整个 安全 隔离 网 闸 的 核心 部 件 , 是 其 
他 应 用 模块 的 安全 平台 ,数据 库 交 换 模块 支持 多 种 主流 数据 库 平 台 在 网 络 间 的 可 控 方 向 的 
安全 数据 交换 ,文件 交换 模块 提供 网 络 间 的 基于 文件 形式 的 可 控 方 向 的 安全 文件 传输 ,消息 
模块 为 上 层 应 用 平台 提供 了 基于 API 的 开发 接口 ,为 彼此 隔离 的 网 络 上 层 程 序 提供 快速 可 
靠 的 消息 传送 。 

(3) 伟 思 安全 隔离 与 信息 交换 系统 。 伟 思 安 全 隔离 与 信息 交换 系统 (以 下 简称 ViGap) 
是 伟 思 (集团 ) 有 限 公 司 基 于 多 年 的 物理 隔离 和 网 络 安全 技术 的 研究 (图 7-21), 采 用 先进 的 
反射 GAP 技术 和 协议 终止 技术 独立 研制 的 安全 产品 。ViGap 通过 专用 隔离 硬件 在 可 信和 网 
络 与 不 可 信和 网 络 间 实 现 物理 隔断 ,并 通过 基于 硬件 设计 的 反射 GAP 系统 ,实现 在 线 高 速 实 
时 的 数据 传输 。 


电源 指示 灯 硬盘 指示 灯 活动 状态 网 络 状态 
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Topwalk-GAP 正视 图 
信任 网 络 RJ-45 接 口 非 信任 网 络 RJ-45 接 口 电源 接口 


外 部 单元 Console 口 。” 内 部 单元 Console 口 
图 7-21 伟 思 安全 隔离 与 信息 交换 系统 (ViGap) 


ViGap 系统 由 可 信和 网 络 端 处 理 系统 、 不 可 信和 网 络 端 处 理 系 统 和 反射 GAP 系统 三 部 分 
系统 组 成 ,并 具备 强大 的 协议 终止 协议 检查 、 文 本 搜索 、 内 容 审 查 等 功能 , 既 能 阻止 网 络 层 
和 操作 系统 层 的 各 类 已 知 攻击 行为 ,又 能 防范 未 知 攻 击 。 
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ViGap 是 以 硬件 隔离 部 件 为 基础 的 软 硬 件 有 机 整合 的 网 络 安全 产品 。 具 有 GAP 技术 
必 备 的 四 个 重要 安全 特性 : 硬件 的 物理 隔离 开关 部 件 、 协 议 的 分 拆 和 重组 、 细 粒度 的 访问 控 
制 和 日 志 管 理 和 安全 策略 的 灵活 自 定义 。ViGap 同时 具备 的 三 大 技术 优势 是 采用 了 先进 的 
电子 开关 通 断 技术 .反射 Gap 技术 以 及 协议 终止 及 分 析 技 术 。 

(4) 中 网 物理 隔离 网 阅 。 由 中 网 公司 研制 开发 的 安全 隔离 和 信息 交换 系统 (X-Gap)， 
能 够 较 好 地 解决 隔离 断 开 和 数据 交换 的 难题 。X-Gap 中 断 了 两 个 网 络 之 间 的 链 路 连接 、 通 
信和 连接 、 网 络 连接 和 应 用 连接 ,在 保证 两 个 网 络 完 全 断 开 和 协议 中 止 的 情况 下 ,以 非 网 络 方 
式 实现 了 数据 交换 。 没 有 任何 包 、 命 令 和 TCP/IP 协议 (包括 UDP 和 ICMP) 可 以 穿 透 X- 
Gap, 它 具有 高 安全 、 高 带宽 、 高 速度 、 高 可 用 性 的 优点 。 此 外 ,由 于 采用 了 SCSI 技术 , 背 板 
速率 高 达 5G, 开 关 效 率 达 到 纳 秒 级 ,彻底 解决 了 速度 慢 \ 效 率 低 的 问题 。 除 此 之 外 ,SCSI 控 
制 系统 本 身 具 有 不 可 编程 的 特性 和 冲突 机 制 ,形成 简单 的 开关 原理 ,从 而 彻底 解决 了 网 闸 开 
关 的 安全 性 问题 。 


3. 物理 隔离 网 闸 的 应 用 


物理 隔离 网 疗 可 应 用 于 下 面 五 种 典型 的 场合 。 

(1) 局 域 网 与 互联 网 之 间 ( 内 网 与 外 网 之 间 )。 有 些 局 域 网 络 ,特别 是 政府 办 公 网 络 , 涉 
及 政府 敏感 信息 ,有 时 需要 与 互联 网 在 物理 上 断 开 ,用 物理 隔离 网 闸 是 一 种 常用 的 办 法 。 

(2) 办 公 网 与 业务 网 之 间 。 由 于 办 公 网 与 业务 网 的 信息 敏感 程度 不 同 , 例 如 ,银行 的 办 
公 网 和 银行 业务 网 就 是 很 典型 的 信息 敏感 程度 不 同 的 两 类 网 络 。 为 了 提高 工作 效率 ,办 公 
网 有 时 需要 与 业务 网 交换 信息 。 为 解决 业务 网 的 安全 ,比较 好 的 办 法 就 是 在 办 公 网 与 业务 
网 之 间 使 用 物理 隔离 网 闻 ,实现 两 类 网 络 的 物理 隔离 。 

(3) 电子 政务 的 内 网 与 专 网 之 间 。 在 电子 政务 系统 建设 中 要 求 政 府内 网 与 外 网 之 间 用 
逻辑 隔离 ,在 政府 专 网 与 内 网 之 间 用 物理 隔离 。 现 常用 的 方法 是 用 物理 隔离 网 闻 来 实现 。 

(4) 业务 网 与 互联 网 之 间 。 电 子 商 务 网 络 一 边 连接 着 业务 网 服务 器 ,一 边 通 过 互联 网 
连接 着 广大 民众 。 为 了 保障 业务 网 服务 器 的 安全 ,在 业务 网 与 互联 网 之 间 应 实现 物理 隔离 。 

(5) 涉 密 网 与 非 涉 密 网 之 间 。 电 子 政务 建设 中 一 般 都 对 网 络 按照 安全 级 别 进 行 了 安全 
域 的 划分 ,这 在 一 定 程度 上 保证 了 信息 的 安全 , 非 涉 密 的 系统 及 面向 公众 的 信息 采集 和 发 布 
系统 主要 运行 在 非 涉 密 网 部 分 。 涉 密 网 , 非 涉 密 网 之 间 物 理 隔离 ,依照 涉 密 信息 “最 小 化 ” 原 
则 ,进行 涉 密 网 和 非 涉 密 网 之 间 两 个 不 同 的 信息 安全 域 信息 的 适度 “可 靠 交 换 ”。 


7.7 习 题 


. 使 用 VLAN 具有 哪些 优点 ? 

. 简 述 跨 交 换 机 的 VLAN 配置 步骤 。 

.如 何在 中 小 企业 网 中 规划 与 实施 VLAN? 
. 简 述 网 络 隔离 的 含义 。 

. 网 络 隔离 的 安全 要 素 有 哪些 ? 

. 简 述 物理 隔离 的 原理 。 

. 简 述 物理 隔离 网 疗 的 主要 应 用 。 


wD 
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本 章 学 习 目 标 : 

。 了 解 PKI 技 术 及 其 应 用 。 

。 了 解数 字 证 书 及 其 作用 。 

。 了 解密 码 技术 的 分 类 及 其 算法 。 

。 掌握 EFS 加 密 与 解密 的 方法 。 

。 掌握 EFS 文件 恢复 代理 的 创建 方法 。 
。 掌握 密 钥 的 存档 与 恢复 方法 。 

。 掌握 邮件 的 加 密 和 数字 签名 方法 。 


随 着 网 络 技 术 的 发 展 ,特别 是 Internet 的 全 球 化 ,各 种 基于 互联 网 技术 的 网 上 应 用 ,如 
电子 商务 和 电子 政务 .网 上 银行 .网 上 证 券 和 网 上 税务 ,以 及 企业 或 组 织 内 部 的 信息 安全 管 
理 等 得 到 了 迅猛 发 展 。 网 络 正 逐步 成 为 人 们 工作 .生活 中 不 可 分 割 的 一 部 分 。 由 于 互联 网 
的 开放 性 和 通用 性 ,网 上 的 所 有 信息 对 所 有 人 都 是 公开 的 ,因此 ,应 用 系统 对 信息 的 安全 性 
提出 了 更 高 的 要 求 : 需要 验证 身份 的 合法 性 ;需要 保证 数据 的 保密 性 、 完 整 性 及 传输 的 安全 
性 ;需要 确保 不 可 抵赖 性 。 

公 钥 基础 设施 (Public Key Infrastructure,PKI) 基于 非 对 称 公 钥 体制 ,采用 数字 证 书 
(可 简称 为 : 证 书 ) 管 理 机 制 ,可 以 透明 地 为 网 上 应 用 提供 上 述 安全 服务 , 极 大 地 保证 了 网 上 
应 用 的 安全 性 。 

通常 在 企业 或 组 织 网 络 内 部 需要 对 一 些 重 要 的 文件 进行 加 密 存 放 , 利 用 Windows 
Server 2003 家 族 的 PKI 技术 ,通过 配置 系统 的 EFS(Encrypting File System, 加 密 文件 系 
统 ) 和 证 书 服务 ,可 以 实现 对 文件 和 文件 夹 的 加 密 存 储 ; 当 密 钥 意外 丢失 时 还 可 以 通过 配置 
故障 恢复 代理 恢复 加 密 的 文件 。 在 互联 网 中 ,利用 PKI 技 术 可 以 实现 对 邮件 的 加 密 和 数字 
签名 ,文件 加 密 技术 可 以 确保 文件 在 传输 途中 的 安全 ,而 数字 签名 技术 则 可 以 确保 文件 是 由 
正确 的 人 发 送 的 。 

密码 技术 是 信息 交换 安全 的 基础 ,本 章 将 对 对 称 密 钥 算法 非 对 称 密 钥 算法 和 单 向 散 列 
函数 三 类 密码 技术 进行 介绍 。 
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8.1 PKI 技术 及 其 应 用 


8.1.1 PKI 概述 


PKI 产生 于 20 世纪 80 年 代 , 它 是 提供 公 钥 加 密 和 数字 签名 服务 的 系统 或 平台 ,目的 是 
为 了 管理 密 钥 和 证 书 。PKI 采 用 数字 证 书 进 行 公 钥 管理 ,通过 第 三 方 的 可 信任 机 构 一 一 证 
书 颁发 机 构 (Certificate Authority,CA), 把 用 户 的 公 钥 和 用 户 的 其 他 标识 信息 捆绑 在 一 起 
(包括 用 户 名 和 电子 邮件 地 址 等 信息 ) ,以 便 在 互联 网 上 验证 用 户 的 身份 。PKI 把 公 钥 密码 
和 对 称 密码 结合 起 来 ,在 互联 网 上 实现 密 钥 的 自动 管理 ,保证 网 上 数据 的 安全 传输 。 

因此 ,从 大 的 方面 来 说 ,所 有 提供 公 钥 加 密 和 数字 签名 服务 的 系统 ,都 可 归结 为 PKI 系 
统 的 一 部 分 ,PKI 为 用 户 建立 起 一 个 安全 的 网 络 运行 环境 ,使 用 户 可 以 在 多 种 应 用 环境 下 
方便 地 使 用 加 密 和 数字 签名 技术 ,从 而 保证 网 上 数据 的 机 密 性 完整 性 和 有 效 性 。 

在 PKI 体系 中 ,CA 和 数字 证 书 是 密 不 可 分 的 两 个 部 分 。CA 是 负责 产生 、 分 配 并 管理 数 
字 证 书 的 可 信赖 的 第 三 方 权威 机 构 , 是 PKI 安全 体系 的 核心 环节 。CA 通常 采用 多 层次 的 分 
级 结构 ,上 级 认证 中 心 负责 签发 和 管理 下 级 CA 的 证 书 ,最 下 一 级 的 CA 直接 面向 最 终 用 户 。 


8.1.2 数字 证 书 及 其 作用 


1. 数字 证 书 


数字 证 书 是 一 种 权威 性 的 电子 文档 ,由 CA 发 放 并 经 CA 数字 签名 , 它 提供 了 一 种 在 互 
联网 上 验证 用 户 身份 的 方式 ,其 作用 类 似 于 司机 的 驾驶 执照 或 日 常生 活 中 的 身份 证 。 

最 简单 的 数字 证 书包 含 一 个 公开 密 钥 、 名 称 以 及 CA 的 数字 签名 。 一 般 情况 下 ,数字 证 
书 中 还 包括 密 钥 的 有 效 时 间 ,发 证 机 关 (CA) 的 名 称 、 该 证 书 的 序列 号 等 信息 ,证 书 的 格式 遵 
循 ITUT X. 509 国际 标准 。 

数字 证 书 采用 公开 密 钥 体制 , 即 利用 一 对 互相 匹配 的 密 钥 进行 加 密 、 解 密 。 每 个 用 户 自 
己 设 定 一 把 特定 的 、 仅 为 本 人 所 知 的 专 有 密 钥 ( 私 钥 ), 用 它 进行 解密 和 签名 ;同时 设 定 一 把 
公共 密 钥 ( 公 钥 ) 并 由 本 人 公开 ,用 于 加 密 和 验证 签名 。 使 用 数字 证 书 可 以 保证 以 下 安全 。 

。 信息 除 发 送 方 和 接收 方 外 不 被 其 他 人 窃取 ; 

。 信息 在 传输 过 程 中 不 被 自 改 ; 

。 发 送 方 能 够 通过 数字 证 书 来 确认 接收 方 的 身份 ; 

。 发 送 方 对 于 自己 的 信息 不 能 抵赖 ; 

。 信息 自 数字 签名 后 到 收 到 为 止 ,未 曾 作 过 任何 修改 .签发 的 文件 是 真实 文件 。 


2. 数字 证 书 的 作用 


数字 证 书 的 作用 主要 表现 在 以 下 四 个 方面 。 
(1) 身份 认证 。 身 份 认 证 即 身 份 识别 与 鉴别 ,就 是 确认 实体 即 为 自己 所 声明 的 实体 ,其 
实现 的 主要 方法 是 数字 签名 技术 。 如 甲 对 乙 的 身份 的 认证 是 这 样 进行 的 : 首先 , 甲 要 验证 
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乙 的 证 书 的 真 伪 , 当 乙 通过 网 络 将 证 书 传送 给 甲 时 , 甲 首先 要 用 该 证 书 的 颁发 机 构 CA 的 公 
钥 解 开 证 书 上 CA 的 数字 签名 ,如 签名 通过 验证 ,证 明 乙 持 有 的 证 书 是 真 的 ,而 且 从 证 书 中 
得 到 的 公 钥 确实 是 乙 的 ;然后 , 甲 要 验证 乙 身份 的 真 伪 一 一 即 发 件 人 是 不 是 真实 的 乙 ? 乙 将 
文件 用 自己 的 私 钥 进行 加 密 传 送 给 甲 , 由 于 乙 的 公 钥 只 能 解 开 用 乙 的 私 钥 加 密 的 文件 , 因 
此 ,如 果 甲 用 乙 的 公 钥 可 以 解 开 该 加 密 文 件 , 即 可 证 明 发 送 该 加 密 文 件 的 人 确实 是 乙 本 人 。 

(2) 数据 完整 性 。 数 据 完整 性 就 是 确认 数据 没有 被 修改 , 即 数据 无 论 是 在 传输 或 是 在 
存储 过 程 中 经 过 检查 确认 没有 被 修改 。 数 据 完整 性 服务 的 实现 主要 方法 也 是 数字 签名 技 
术 。 这 是 因为 密码 哈 希 算法 和 签名 算法 提供 的 保证 , 喻 希 算 法 的 特点 是 输入 数据 的 任何 变 
化 都 会 引起 输出 数据 的 不 可 预测 的 极 大 变化 ;签名 是 用 自己 的 私 钥 将 该 哈 希 值 进行 加 密 , 和 
数据 一 起 传送 给 接收 方 。 如 果 敏 感 数 据 在 传输 和 处 理 过 程 中 被 算 改 ,接收 方 就 不 会 收 到 完 
整 的 数据 签名 ,验证 就 会 失败 。 反 之 ,如 果 签 名 通过 了 验证 ,就 证 明 接收 方 收 到 的 是 没 经 修 
改 的 完整 性 数据 。 

(3) 数据 保密 性 。 数 据 保密 性 就 是 确保 数据 的 秘密 ,除了 指定 的 实体 外 ,其 他 没 经 授权 
的 人 不 能 读 出 或 看 懂 该 数据 。PKI 的 保密 性 服务 采用 了 “数字 信封 "机制, 即 发 送 方 先 产生 
一 个 对 称 密 钥 , 并 用 该 对 称 密 钥 加 密 敏感 数据 。 同 时 ,发 送 方 还 用 接收 方 的 公 钥 加 密 对 称 密 
钥 , 像 装 入 一 个 “数字 信封 "里 ,然后 将 被 加 密 的 对 称 密 钥 (“数字 信封 ") 和 被 加 密 的 敏感 数据 
一 起 传送 给 接收 方 。 接 收 方 用 自己 的 私 钥 拆 开 * 数 字 信 封 ”, 得 到 对 称 密 钥 ,用 对 称 密 钥 解 开 
被 加 密 的 敏感 数据 。 其 他 没 经 授权 的 人 ,因为 没有 拆 开 * 数 字 信 封 ” 的 私 钥 ,看 不 见 或 读 不 懂 
原 数 据 , 起 到 了 数据 保密 性 的 作用 。 

(4) 不 可 否认 性 。 不 可 否认 性 服务 是 指 从 技术 上 实现 保证 实体 对 他 们 的 行为 的 诚实 
性 , 即 用 数字 签名 的 方法 防止 其 对 行为 的 否认 。 其 中 ,人 们 更 关注 的 是 数据 来 源 的 不 可 否认 
性 和 接收 的 不 可 和 否认 性 , 即 用 户 不 能 否认 敏感 信息 和 文件 不 是 来 源 于 他 ;以 及 接收 后 的 不 可 
否认 性 , 即 用 户 不 能 否认 他 已 接收 到 了 敏感 信息 和 文件 。 此 外 ,还 有 其 他 类 型 的 不 可 否认 
性 ,如 传输 的 不 可 否认 性 、 创 建 的 不 可 否认 性 和 同意 的 不 可 否认 性 等 。 

数字 证 书 主要 应 用 于 各 种 需要 身份 认证 的 场合 , 它 提供 的 安全 服务 能 满足 电子 商务 、 电 
子 政务 、 网 上 银行 、 网 上 证 券 等 金融 业 交 易 的 安全 需求 ,是 确保 这 些 活动 顺利 进行 必 备 的 安 
全 措施 。 


8.1.3 ”PKI 系统 的 基本 组 成 


PKI 作为 一 组 在 分 布 式 计算 机 系统 中 利用 公 钥 技术 和 X. 509 证 书 所 提供 的 安全 服务 ， 
企业 或 组 织 可 利用 相关 产品 建立 安全 域 ,并 在 其 中 发 布 密 钥 和 证 书 。 在 安全 域内 ,PKI 管理 
加 密 密 钥 和 证 书 的 发 布 ,并 提供 诸如 密 钥 管理 (包括 密 钥 更 新 、 密 钥 恢 复 和 密 钥 委托 等 ) .证 
书 管理 (包括 证 书 产生 和 撤销 等 ) 和 策略 管理 等 。 

PKI 在 实际 应 用 上 是 一 套 软 硬 件 系统 和 安全 策略 的 集合 , 它 提 供 了 一 整套 安全 机 制 ,使 
用 户 在 不 知道 对 方 身份 或 分 布地 很 广 的 情况 下 ,以 证 书 为 基础 ,通过 一 系列 的 信任 关系 进行 
通信 和 电子 商务 交易 。 

一 个 典型 的 PKI 系统 如 图 8-1 所 示 ,其 中 包括 PKI 策略. 软 硬件 系统 .证 书 机 构 CA , 注 
册 机 构 RA 证 书 发 布 系 统 和 PKI 应 用 等 。 
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PKI 策略 ”| | 软 硬 件 系统 | 


证 书 机 构 CA | 注册 机 构 RA 证 书 发 布 系 统 | 


PKI 应 用 


图 8-1 PKI 系统 


PKI 安全 策略 建立 和 定义 了 一 个 组 织 信息 安全 方面 的 指导 方针 ,定义 了 密码 系统 使 
用 的 处 理 方法 和 原则 。 它 包括 一 个 组 织 怎样 处 理 密 钥 和 有 价值 的 信息 ,根据 风险 的 
级 别 定义 安全 控制 的 级 别 。 

证 书 颁发 机 构 CA 是 PKI 的 信任 基础 , 它 管理 公 钥 的 整个 生命 周期 ,其 作用 包括 : 
发 放 数字 证 书 、 规 定数 字 证 书 的 有 效 期 和 通过 发 布 证 书 吊 销 列表 (Certificate 
Revocation List,CRL) 确 保 必 要 时 可 以 废除 证 书 。 

注册 机 构 RA 提供 用 户 和 CA 之 间 的 一 个 接口 , 它 获取 并 认证 用 户 的 身份 ,向 CA 提 
出 证 书 请 求 。 它 主要 完成 收集 用 户 信 息 和 确认 用 户 身份 的 功能 。 

证 书 发 布 系统 负责 证 书 的 发 放 , 如 可 以 通过 用 户 自己 ,或 是 通过 目录 服务 。 目 录 服 
务 器 可 以 是 一 个 组 织 中 现存 的 ,也 可 以 是 PKI 方 案 中 提供 的 。 

PKI 的 应 用 将 在 8.1.5 小 节 做 详细 介绍 。 


8.1.4 Windows Server 2003 中 的 PKI 


利用 Windows Server 2003 家 族 的 PKI, 可 以 帮助 企业 或 组 织 实现 以 下 主要 功能 。 
1. 数字 证 书 


数字 证 书 是 颁发 机 构 所 颁发 的 证 明证 书 持 有 人 身份 的 数字 声明 , 它 将 公 钥 与 拥有 相应 
私 钥 的 个 人 、 计 算 机 或 服务 绑 在 一 起 ,提供 身份 验证 ,数据 完整 性 和 网 络 的 安全 通信 。 


2. 证 书 服务 


在 Windows Server 2003 Standard Edition、Windows Server 2003 Enterprise Edition 
和 Windows Server 2003 Datacenter Edition 上 ,证 书 服务 是 用 于 创建 和 管理 证 书 颁发 机 构 
的 组 件 。CA 负责 建立 和 确定 证 书 持 有 者 的 身份 ,如 果 证 书 不 再 有 效 ,CA 会 吊销 证 书 。 


3. 证 书 模板 


数字 证 书 是 由 CA 根据 证 书 申请 中 提供 的 信息 和 证 书 模板 中 包含 的 设置 来 颁发 的 。 证 
书 模板 是 针对 接收 到 的 证 书 申请 应 用 的 规则 和 设置 的 集合 。 对 于 企业 的 CA 可 以 颁发 的 每 
一 种 类 型 的 证 书 ,都 必须 配置 证 书 模板 。 
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4. 证 书 自动 注册 

让 计算 机 自动 向 企业 证 书 颁发 机 构 提交 证 书 申请 并 安装 颁发 的 证 书 , 这 有 助 于 确保 计 
算 机 能 获得 在 组 织 内 执行 公 钥 加 密 操作 所 需 的 证 书 ( 例 如 ,用 于 Internet 协议 安全 性 或 客户 
端 验 证 )。 自 动 注册 允许 管理 员 配 置 受 领 人 ,以 便 自动 注册 证 书 , 检 索 颁发 的 证 书 及 延长 过 
期 的 证 书 , 而 不 需要 受 领 人 进行 交互 ;不 需要 受 领 人 具有 证 书 操作 方面 的 知识 ,除非 证 书 模 
板 被 配置 为 与 受 领 人 进行 交互 。 这 大 大 地 简化 了 客户 使 用 证 书 的 手续 ,并 最 大 限度 地 减少 
了 管理 任务 。 


5. Web 注册 页 面 


Web 注册 页 面 是 证 书 服务 的 单独 组 件 , 是 安装 CA 时 默认 安装 的 ,并 允许 证 书 申请 者 
使 用 Web 浏览 器 递交 证 书 申请 。 


6. 智能 卡 支持 


Windows 支持 通过 智能 卡 上 的 证 书 进行 登录 ,以 及 使 用 智能 卡 来 存储 证 书 和 私 钥 。 智 
能 卡 可 以 用 于 进行 Web 身份 验证 发送 安全 的 电子 邮件 .无线 网 络 和 其 他 与 公 钥 加 密 相关 
的 活动 中 。 


7. 公 钥 策略 

在 Windows 中 可 以 使 用 组 策略 自动 给 受 领 人 颁发 证 书 , 建 立 可 信 的 证 书 颁发 机 构 及 为 
EFS 管理 恢复 策略 。 
8.1.5 ”PKI 的 应 用 

PKI 技术 的 广泛 应 用 能 满足 人 们 对 网 络 交 易 安全 保障 的 需求 ,并 且 在 不 断 发 展 之 中 ,下 
面 给 出 几 个 应 用 实例 。 

1. 虚拟 专用 网 络 (Virtual Private Network ,VPN) 


VPN 是 一 种 架构 在 公用 通信 基础 设施 上 的 专用 数据 通信 网 络 ,利用 网 络 层 安全 协议 
(尤其 是 IPSec) 和 建立 在 PKI 上 的 加 密 与 签名 技术 来 获得 机 密 性 保护 。 基 于 PKI 技术 的 
IPSec 协议 现在 已 经 成 为 架构 VPN 的 基础 , 它 可 以 为 路 由 器 之 间 、 防 火 墙 之 间或 者 路 由 器 
和 防火 墙 之 间 提 供 经 过 加 密 和 认证 的 通信 。 


2. 安全 电子 邮件 


作为 Internet 上 最 有 效 的 应 用 ,电子 邮件 凭借 其 易 用 、 低 成 本 和 高 效 已 经 成 为 现代 商业 
中 的 一 种 标准 信息 交换 工具 。 随 着 Internet 的 持续 增长 ,商业 机 构 或 政府 机 构 都 开始 用 电 
子 邮件 交换 一 些 秘密 的 或 是 有 商业 价值 的 信息 ,这 就 引出 了 一 些 安全 方面 的 问题 ,包括 消息 
和 附件 可 以 在 不 为 通信 双方 所 知 的 情况 下 被 读 取 、 自 改 或 截 掉 ;发 信人 的 身份 无 法 确认 。 电 
子 邮件 的 安全 也 要 求 机密 、 完 整 . 认 证 和 不 可 否认 ,这 些 都 可 以 利用 PKI 技 术 获 得 。 
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3. Web 安全 


浏览 Web 页 面 是 人 们 最 常用 的 访问 Internet 的 方式 。 如 果 要 通过 Web 进行 一 些 商 业 
交易 ,该 如 何 保证 交易 的 安全 呢 ? 为 了 透明 地 解决 Web 的 安全 问题 ,在 两 个 实体 进行 通信 
之 前 , 先 要 建立 SSL(Secure Socket Layer, 安 全 套 接 层 协议 ) 连 接 ,以 此 实现 对 应 用 层 透 明 
的 安全 通信 。 利 用 PKI 技术 ,SSL 协议 允许 在 浏览 器 和 服务 器 之 间 进 行 加 密 通 信 。 此 外 ， 
服务 器 端 和 浏览 器 端 通信 时 双方 可 以 通过 数字 证 书 确认 对 方 的 身份 。 结 合 SSL 协议 和 数 
字 证 书 ,PKI 技术 可 以 保证 Web 交易 多 方面 的 安全 需求 ,使 Web 上 的 交易 和 面对面 的 交易 
一 样 安全 。 


4. 电子 商务 的 应 用 


PKI 技术 是 解决 电子 商务 安全 问题 的 关键 ,综合 PKI 的 各 种 应 用 ,我 们 可 以 建立 一 个 
可 信任 和 足够 安全 的 网 络 。 在 通信 中 ,利用 数字 证 书 可 消除 匿名 带 来 的 风险 ,利用 加 密 技术 
可 消除 开放 网 络 带 来 的 风险 ,还 可 以 使 用 一 段 可 认证 的 完整 数据 表示 的 时 间 戳 ,这 样 ,商业 
交易 就 可 以 安全 可 靠 地 在 网 上 进行 。 


5. 应 用 编程 接口 API 


协议 标准 是 系统 具有 可 交互 性 的 前 提 和 基础 , 它 规范 了 PKI 系统 各 部 分 之 间 相 互通 
信和 的 格式 和 步骤 。 而 应 用 编程 界面 API( Application Programming Interfaces) 则 定义 了 如 
何 使 用 这 些 协 议 ,并 为 上 层 应 用 提供 PKI 服务 。 当 应 用 需要 使 用 PKI 服务 ,如 获取 某 一 
用 户 的 公 钥 .请求 证书 废除 信息 或 请 求证 书 时 将 都 会 用 到 API。 目 前 API 没有 统一 的 国 
际 标准 ,大 部 分 都 是 操作 系统 或 某 一 公司 产品 的 扩展 ,并 在 其 产品 应 用 的 框架 内 提供 PKI 
服务 。 


8.2 密码 技术 


密码 技术 是 信息 交换 安全 的 基础 ,通过 数据 加 密 、 消 息 摘要 ,数字 签名 及 密 钥 交 换 等 技 
术 实 现 了 数据 机 密 性 ,数据 完 整 性 、 不 可 否认 性 和 用 户 身份 真实 性 等 安全 机 制 ,从 而 保证 了 
网 络 环境 中 信息 传输 和 交换 的 安全 。 密 码 技术 大 致 可 以 分 为 三 类 : 对 称 密 钥 算 法 、 非 对 称 
密 钥 算法 (也 称 为 公开 钥 密 算法 ) 和 单 向 散 列 函 数 。 


8.2.1 对 称 密 钥 算法 
对 称 密 钥 算法 是 指 加 密 和 解密 数据 使 用 同一 个 密 钥 , 即 加 密 和 解密 的 密 钥 是 对 称 的 。 
典型 的 对 称 密 钥 算法 是 DES .IDEA 和 RC 等 算法 。 对 称 密 钥 算法 的 特点 是 计算 量 小 ,加密 


效率 高 ,但 在 分 布 式 系统 中 应 用 时 则 存在 着 密 钥 交换 和 管理 的 问题 。 
对 称 密 钥 算法 加 密 、 解 密 流 程 如 图 8-2 所 示 。 
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(明文 ) "mn >( 密 文 ) 8 明文 


图 8-2 对称 密 钥 算法 加 密 、 解 密 流 程 


1. DES 算法 


DES(Data Encryption Standard, 数 据 加 密 标准 ) 是 由 IBM 公司 研制 的 ,经 长 时 间 论 证 
和 筛选 后 ,由 美国 国家 标准 局 于 1977 年 颁布 的 一 种 加 密 算法 。DES 主要 用 于 民用 敏感 信 
息 的 加 密 ,1981 年 被 国际 标准 化 组 织 接受 作为 国际 标准 。 

DES 用 于 对 64 位 的 数据 块 进 行 加 密 和 解密 。 它 的 密 钥 是 64 位 ,但 其 中 包含 8 个 比特 
的 奇偶 校 验 位 ,实际 密 钥 长 度 是 56 位 。DES 算法 利用 多 次 组 合 迭 代 算法 和 换 位 算法 ,对 
64 位 的 数据 块 进行 16 轮 编码 。 利 用 分 散 和 错乱 的 相互 作用 ,把 明文 编制 成 保密 强度 相对 
较 高 的 密 文 。DES 算法 的 加 密 和 解密 的 流程 是 完全 相同 的 ,区 别 仅 是 加 密 与 解密 使 用 子 密 
钥 序 列 的 顺序 正好 相反 。 

DES 曾 为 全 球 贸 易 、 金 融 等 非 官 方 部 门 提供 了 可 靠 的 通信 安全 保障 。 它 的 缺点 是 密 钥 
太 短 (56 位 ) ,影响 了 它 的 保密 强度 。 此 外 ,由 于 DES 算法 公开 ,其 安全 性 完全 依赖 于 对 密 
钥 的 保护 ,必须 有 可 靠 的 信道 来 分 发 密 钥 。 因 此 , 它 不 适合 在 网 络 环境 下 单独 使 用 。 


2. IDEA 算法 


IDEA(International Data Encryption Algorithmic, 国 际 数据 加 密 算 法 ) 由 著名 密码 专 
家 来 学 嘉 ( 瑞 士 籍 华人 ) 博 士 和 James L. Massey 于 1990 年 联合 提出 。IDEA 算法 是 在 
DES 算法 的 基础 上 发 展 起 来 的 ,也 是 一 种 数据 块 加 密 算法 ,明文 和 密 文 都 是 64 位 ,但 密 钥 
长 度 为 128 位 。IDEA 是 作为 迭代 的 分 组 密码 实现 的 ,使 用 128 位 的 密 钥 和 8 个 循环 。 


3. RC 系列 算法 


RC 系列 算法 是 大 名 易 瞻 的 RSA 三 人 组 设计 的 密 钥 长 度 可 变 的 流 加 密 算法 ,包括 RC2 
算法 .RC4 算法 .RC5 算法 和 RC6 算法 。 其 中 最 流行 的 是 RC4 算法 ,RC 系列 算法 可 以 使 用 
2048 位 的 密 钥 , 该 算法 的 速度 可 以 达到 DES 加 密 的 10 倍 左右 。 

RC4 算法 的 原理 包括 初始 化 算法 和 伪 随 机 子 密码 生成 算法 两 大 部 分 ,在 初始 化 的 过 程 
中 , 密 钥 的 主要 功能 是 将 一 个 256 字 节 的 初始 数 簇 进行 随机 搅乱 ,不 同 的 数 徐 在 经 过 伪 随 机 
子 密码 生成 算法 的 处 理 后 可 以 得 到 不 同 的 子 密 钥 序列 ,得 到 的 子 密 钥 序列 和 明文 进行 异 或 
运算 (XOR) 后 ,得 到 密 文 。 

由 于 RC4 算法 加 密 采 用 的 是 异 或 方式 ,所 以 ,一旦 子 密 钥 序列 出 现 了 重复 , 密 文 就 有 可 
能 被 破解 ,但 是 目前 还 没有 发 现 密 钥 长 度 达到 128 位 的 RC4 算法 有 重复 的 可 能 性 ,所 以 ， 
RC4 算法 也 是 目前 最 安全 的 加 密 算 法 之 一 。 
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8.2.2 非 对 称 密 钥 算法 


对 称 密 钥 算法 在 加 密 、 解 密 时 使 用 同样 的 密 钥 ,这 些 密 钥 由 发 送 者 和 接收 者 分 别 保存 。 
对 称 密 钥 算法 的 主要 问题 是 密 钥 的 生成 .管理 和 分 发 都 很 复杂 ,特别 是 随 着 用 户 的 增加 , 密 
钥 的 需求 量 成 们 增加。 如 果 网 络 中 及 个 用 户 , 每 两 个 用 户 之 间 都 需要 建立 保密 通信 , 则 系 
统 中 所 需 的 密 钥 总 数 达 n(n 一 1)/2 个 , 当 较 大 时 ,这 个 数 是 很 大 的 。 同 时 为 了 安全 的 需 
要 ,通信 双方 要 经 常 地 更 换 密 钥 ,如 此 大 的 密 钥 要 经 常 地 产生 分 配 与 更 换 , 其 难度 之 大 可 想 
而 知 , 有 时 其 至 是 不 可 能 实现 的 。 

1976 年 ,美国 斯 坦 福 大 学 的 两 名 学 者 W. Diffie 和 M. Hellman 根据 单 向 函数 的 概念 提 
出 了 公开 密 钥 体制 。 它 与 对 称 密 钥 算 法 不 同 ,公开 密 钥 体制 采用 两 个 不 同 的 密 钥 来 对 信息 
进行 加 密 和 解密 ,因此 也 称 为 “ 非 对 称 密 钥 算法 ”。 加 密 密 钥 是 公开 的 ,解密 密 钥 是 保密 的 ， 
加 密 和 解密 算法 都 是 公开 的 ,但 是 要 从 加 密 密 钥 求解 密 密 钥 却 非常 困难 。 每 个 用 户 有 一 个 
对 外 的 加 密 密 钥 ( 称 为 公 钥 ) 和 对 外 保密 的 解密 密 钥 ( 称 为 私 钥 ) 。 典 型 的 非 对 称 密 钥 算法 有 
RSA、ECC 和 DSA 等 。 

非 对 称 密 钥 算法 加 密 、 解 密 流程 如 图 8-3 所 示 。 


各 郡 


图 8-3” 非 对 称 密 钥 算法 加 密 、 解 密 流 程 


1. RSA 算法 


RSA 公 钥 密码 是 1977 年 由 Ron Rivest、Adi Shamirh 和 Len Adleman 在 美国 麻 省 理工 
学 院 开发 的 ,算法 的 名 字 以 发 明 者 的 名 字 命名 ,是 第 一 个 既 能 用 于 数据 加 密 也 能 用 于 数字 签 
名 的 算法 。RSA 是 目前 最 有 影响 的 公 钥 加 密 算 法 , 它 能 够 抵抗 到 目前 为 止 已 知 的 所 有 密码 
攻击 ,目前 已 被 ISO 推荐 为 公 钥 数据 加 密 标 准 。 

RSA 算法 基于 一 个 十 分 简单 的 数论 事实 : 将 两 个 大 素数 相 乘 十 分 容易 ,但 是 想 分 解 它 
们 的 乘积 却 极端 困难 ,因此 可 以 将 乘积 公开 作为 加 密 密 钥 。 

RSA 算法 具有 密 钥 管理 简单 (网 上 每 个 用 户 仅 需 保 存 一 个 密 钥 , 且 不 需 配 送 密 钥 )、 可 
靠 性 高 (取决 于 分 解 大 素数 的 难 易 程度 ) 等 优点 ,但 其 算法 复杂 加密 解密 速度 慢 ,因此 ,通常 
被 用 于 加 密 关键 性 的 、 核 心 的 .少量 的 机 密 信 息 ,而 对 于 大 量 要 加 密 的 数据 通常 采用 对 称 密 
钥 算 法 。 


2. ECC 算法 


ECC(Elliptic Curves Cryptography, 椭圆 曲线 密码 编码 学 ) 由 Neal Koblity 和 Victor 
Miller 于 1985 年 提出 。ECC 算法 的 安全 性 基于 椭圆 曲线 离散 对 数 问题 的 计算 困难 性 ,将 
椭圆 曲线 中 的 加 法 运算 与 离散 对 数 中 的 模 乘 运算 相对 应 ,将 椭圆 曲线 中 的 乘法 运算 与 离散 
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对 数 中 的 模 短 运 算 相 对 应 , 即 可 以 建立 基于 椭圆 曲线 的 对 应 的 密码 体制 。 它 的 特点 是 抗 攻 
击 性 强 、 计 算 量 小 ,处 理 速 度 快 。 


3. DSA 算法 


DSA(Digital Signature Algorithm ,数字 签名 算法 ) 是 由 美国 NIST(National Institute 
of Standards and Technoligy, 美国 国家 标准 技术 研究 院 ) 作 为 DSS(DigitalSignature 
Standard ,数字 签名 标准 ) 提 出 的 。DSA 是 一 种 基于 公开 密 钥 体制 的 数字 签名 算法 , 它 不 能 
用 做 加 密 , 只 用 做 数字 签名 。DSA 算法 使 用 公开 密 钥 ,为 接收 者 验证 数据 的 完整 性 和 数据 
发 送 者 的 身份 ,也 可 用 于 由 第 三 方 确定 签名 和 所 签 数据 的 真实 性 。 算 法 的 安全 性 是 基于 解 
离散 对 数 的 困难 性 ,这 类 签名 标准 具有 较 大 的 兼容 性 和 适用 性 ,成 为 网 络 安全 体系 的 基本 构 
作 过 二。 


8.2.3 单 向 散 列 函数 


在 信息 安全 技术 中 ,一 般 存 在 两 个 方向 的 加 密 方式 : 双向 加 密 和 单 向 加 密 。 前 面 介绍 
的 加 密 方 式 都 属于 双向 加 密 , 即 将 明文 数据 加 密 成 不 可 理解 的 密 文 数据 后 ,在 需要 的 时 候 ， 
可 以 使 用 一 定 的 算法 将 这 些 密 文 恢复 为 原来 的 明文 。 而 单 向 加 密 只 对 数据 进行 加 密 而 不 能 
进行 解密 ,适用 于 不 需要 对 信息 解密 或 读 取 的 情况 ,如 验证 用 户 输入 的 账号 和 密码 是 否 
正确 。 

单 向 散 列 (Hash) 函数 就 是 这 类 单 向 加 密 数 据 的 函数 , 它 对 不 同 长 度 的 输入 消息 ,产生 
固定 长 度 的 输出 。 这 个 固定 长 度 的 输出 称 为 原 输 入 消息 的 “ 散 列 ? 或 “消息 摘要 ”(Message 
digest) ,其 长 度 取决 于 所 采用 的 算法 ,通常 在 128 一 256 位 之 间 。 

目前 已 提出 的 许多 单 向 散 列 函数 中 ,比较 可 靠 而 得 到 广泛 使 用 的 有 MD5 和 HA-1。 

MD5(Message-Digest algorithm, 消息 -摘要 算法 ) 于 1991 年 由 Rivest 开发 出 来 ,经 
MD2,MD3 和 MD4 发 展 而 来 。MD5 克服 了 MD4 的 缺陷 ,生成 128 位 的 摘要 信息 串 ,出现 
之 后 迅速 成 为 主流 算法 .并 在 1992 年 被 收录 到 RFC(Request For Comments, 请 求 注解 。 
可 以 把 RFC 理解 为 互联 网 协议 的 草案 及 标准 ,比如 HTTP 协议 和 FTP 协议 都 是 由 RFC 
定义 的 ) 中 。 

SHA(Secure Hash algorithm, 安全 散 列 算法 ) 于 1993 年 由 美国 国家 安全 局 NSA 
(National Security Agency) 设 计 , 之 后 被 美国 NIST 收录 到 美国 的 联邦 信息 处 理 标准 FIPS 
(Federal Information Processing Standard) 中 ,成 为 美国 国家 标准 。SHA (后 来 被 称 作 
SHA-0) 于 1995 被 SHA-1 替代 ,SHA-1 生成 长 度 为 160 位 的 摘要 信息 串 , 虽 然 之 后 又 出 现 
了 SHA-224、SHA-256、SHA-384 和 SHA-512 等 被 统称 为 “SHA-2” 的 系列 算法 ,但 仍 以 
SHA-1 为 主流 。 

安全 的 散 列 函数 在 设计 时 必须 满足 两 个 要 求 : 其 一 是 寻找 两 个 输入 得 到 相同 的 输出 值 
在 计算 上 是 不 可 行 的 ,这 就 是 我 们 通常 所 说 的 抗 碰撞 性 ;其 二 是 找 一 个 输入 ,能 得 到 给 定 的 
输出 在 计算 上 是 不 可 行 的 , 即 不 可 从 结果 推导 出 它 的 初始 状态 。 现 在 使 用 的 重要 计算 机 安 
全 协议 ,如 SSL、PGP 都 用 散 列 函数 来 进行 签名 ,一 旦 找到 两 个 文件 可 以 产生 相同 的 压缩 
值 ,就 可 以 伪造 签名 ,给 网 络 安 全 领域 带 来 巨大 隐患 。 
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2004 年 8 月 17 日 的 美国 加 州 圣 巴巴 拉 的 国际 密码 学 会 议 上 ,来 自 中 国 山东 大 学 的 王 
小 云 教授 做 了 破译 MD4、MD5、HAVAL-128 和 RIPEMD 算法 的 报告 ,公布 了 MD 系列 算 
法 的 破解 结果 。 宣 告 了 固 若 金汤 的 世界 通行 密码 标准 MD5 的 堡 侍 到 然 倒塌 ,引发 了 密码 
学 界 的 轩然大波 。 在 业界 专家 普林斯顿 大 学 教授 Edwards Felton 的 个 人 网 站 上 ,他 说 : 
“MD5 已 经 受 了 重伤 , 它 的 应 用 就 要 淘汰 。SHA-1 仍然 活着 ,但 也 不 会 很 长 ,必须 立即 更 换 
SHA-1, 但 是 选用 什么 样 的 算法 ,这 需要 密码 研究 人 员 达 成 共识 。” 


8.3 EFS 加 密 


《信息 周刊 )2008 年 “中 国信 息 安全 调查 ”数据 发 现 , 安 全 威胁 的 增长 令 企 业 遭 受到 更 猛 
烈 的 攻击 ,而 且 威 胁 手段 更 加 多 样 ,从 威胁 的 趋势 来 看 ,针对 数据 库 的 攻击 越 来 越 多 。 在 各 
类 安全 威胁 中 ,企业 最 重视 哪 3 类 ? 病毒 和 蠕虫 .间谍 软件 ,垃圾 邮件 一 直 高 居 榜 首 。 然 而 ， 
《信息 周刊 ?研究 部 调查 显示 ,数据 安全 的 危害 性 正在 日 益 上 升 , 如 未 经 授权 的 雇员 对 文件 或 
数据 的 访问 、 带 有 公司 数据 的 可 移动 设备 遗失 或 失窃 等 ,但 是 这 一 点 却 并 没有 引起 企业 足够 
的 重视 。 

信息 技术 市 场 调研 公司 高 德 纳 公司 (Gartner) 不 久 前 曾 进行 一 项 关于 数据 被 穷 的 调查 ， 
结果 显示 只 有 25%% 的 数据 失窃 是 源 于 不 法 之 徒 的 恶意 攻击 ,60%% 是 由 于 移动 设备 丢失 或 被 
窃 ,15%% 是 源 于 其 他 原因 。 由 于 移动 办 公 已 经 成 为 不 可 逆转 的 趋势 ,要 商业 人 员 减 少 使 用 U 
盘 、 笔 记 本 电脑 等 移动 IT 设备 是 不 现实 的 。CheckPoint 软件 技术 有 限 公司 安全 顾问 吴 航 
表示 ,治本 的 方法 是 协助 他 们 加 强 数据 安全 ,即使 用 严谨 的 加 密 技 术 配 合 访问 控制 技术 , 令 
移动 IT 设备 即使 失窃 ,其 存储 的 数据 也 会 “ 守 口 如 瓶 ”。 


8.3.1 EFS 概述 


EFS(Encrypting File System, 加 密 文件 系统 ) 是 Windows 2000/XP/Server 2003 系统 
中 特有 的 一 个 实用 功能 ,对 于 NTFS 分 区 上 的 文件 和 文件 夹 可 以 直接 加 密 保存 。EFS 的 用 
户 验证 过 程 是 在 登录 Windows 时 进行 ,只 要 登录 到 Windows, 就 可 以 打开 任何 一 个 被 授权 
的 加 密 文 件 ,而 不 需要 在 使 用 前 手动 解密 已 加 密 的 文件 。 


匿 注意 : 使 用 EFS 只 能 加 密 NTFS 分 区 上 的 文件 或 文件 夹 , 且 不 能 加 密 压缩 的 文 
件 或 文件 夹 。 


1. EFS 原理 及 说 明 


(1) 如 果 一 个 用 户 对 文件 或 文件 夹 进行 了 加 密 , 那 么 只 有 这 个 用 户 可 以 访问 这 个 文件 
或 文件 夹 , 其 他 没有 访问 权限 的 用 户 是 不 能 访问 这 个 被 加 密 数据 的 。 

(2) 对 于 已 加 密 的 数据 进行 移动 或 传输 时 ,在 移动 或 传输 过 程 中 数据 是 被 解密 的 , 待 移 
动 到 相应 的 位 置 后 再 次 被 加 密 。 如 果 加 密 数 据 被 移动 到 了 非 NTFS 分 区 ,数据 会 被 自动 
解密 。 

(3) EFS 是 基于 公开 密 钥 体制 的 ,为 了 保障 EFS 的 正常 工作 , 它 被 内 置 了 一 个 恢复 方 
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案 。 在 用 户 丢 失 了 私 钥 时 ,故障 恢复 代理 用 户 可 以 给 已 加 密 的 数据 解密 ,这 样 就 极 大 地 保障 
了 加 密 数 据 的 安全 性 。 


2. EFS 证 书 


微软 的 EFS 技术 可 以 对 计算 机 上 的 数据 进行 加 密 , 并 控制 哪些 人 有 权 解 密 或 恢复 数 
据 , 有 效 地 减 小 数据 失窃 的 隐患 。 文 件 被 加 密 后 ,即使 攻击 者 能 够 物理 访问 计算 机 的 数据 存 
储 器 ,也 无 法 读 取 用 户 数 据 。 所 有 用 户 都 必须 拥有 EFS 证 书 , 才 能 运用 EFS 对 数据 进行 加 
密 和 人 解密。 此 外 ,EFS 用 户 必须 拥有 在 NTFS 分 区 中 修改 文件 的 权限 。EFS 包括 两 种 类 型 
的 证 书 。 

(1) 加 密 文 件 系统 证 书 ( 可 直接 称 为 : EFS 证 书 )。 该 证 书 允许 其 持 有 者 使 用 EFS 加 密 
和 解密 数据 ,普通 的 EFS 用 户 使 用 此 类 证 书 。 

(2) 文件 恢复 证 书 。 该 证 书 的 持 有 者 可 以 在 整个 域 或 其 他 范围 内 对 任何 人 加 密 的 文件 
和 文件 夹 进行 恢复 。 只 有 域 管理 员 或 极 受信 任 的 委托 人 ( 即 数据 恢复 代理 ,也 称 故障 恢复 代 
理 ) 可 以 持 有 该 证 书 。 


区 注意 ; 要 允许 其 他 授权 用 户 读 取 加 密 的 数据 ,需要 给 他 们 私 钥 ,或 使 其 成 为 故障 
恢复 代理 。 故 障 恢复 代理 可 以 在 其 范围 内 的 域 或 组 织 单位 中 ,解密 所 有 的 EFS 加 密 文 
件 , 而 无 须 加 密 文 件 或 文件 夹 的 用 户 的 私 钥 。 


8.3.2 用 EFS 对 文件 和 文件 夹 加 密 


1. 用 EFS 对 文件 加 密 


用 EFS 对 文件 加 密 , 具 体操 作 步 又 如 下 : 
(1) 建立 两 个 用 户 账户 (如 :Sanny 和 
Ellen), 以 Sanny 账户 登录 系统 (建议 采用 


Windows Server 2003 R2 EnterPrise Edition ) 。 
中 六 [91 安装 指南 .doc 
在 资源 管理 器 NTFS 格式 分 区 中 找到 要 加 密 的 


SQL 安 装 指南 . aoe 尾 性 
第 规 | 安全 | 自 定义 | 摘要 | 


文件 并 右 击 ,在 弹出 的 快捷 菜单 中 选择 【属性 了 合 ee 
令 , 在 打开 的 对 话 框 中 选择 [常规 】 选 项 卡 ,如 加 Werosoft office te .| 
图 8-4 所 示 。 了 :\ 个 人 资料 

171 至 (175, 104 字 节 ) 


(2) 单 击 【高 级 3 按钮 ,打开 如 图 8-5 所 示 的 
【高 级 属性 】 对 话 框 。 
(3) 选中 [加 密 内 容 以 便 保 护 数 据 ] 复 选 框 ， 


;172 1B (176, 128 字 节 ) 


: ”2008 年 6 月 20 日 ，15:16:25 
;2008 年 6 月 20 日 ，15:20;46 


单 击 【确定 按钮 ,将 弹出 如 图 8-6 所 示 【 加 密 警 : ”2008 年 6 月 20 日 ，15:20:46 
告 ] 提 示 框 。 在 此 提示 框 中 有 两 个 单 选 按钮 可 供 i 
选择 。 


。 如 果 选 中 [加密 文件 及 其 父 文件 夹 3 单 选 
按钮 , 则 今后 添加 到 该 文件 夹 中 的 文件 
和 子 文件 夹 都 将 被 自动 加 密 。 图 8-4 【常规 〗 选 项 卡 
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三 存档 和 编制 索引 属性 
订 可 以 存档 文件 他) 
为 了 快速 搜索 ， 克 许 索引 服务 编制 沪 文 件 的 索引 [[) 


图 8-5 【高 级 属性 对话 框 图 8-6 【加 密 警告 ] 提 示 框 


。 如 果 选 中 【只 加 密 文 件 ] 单 选 按 钮 , 则 只 会 对 选中 的 文件 进行 加 密 。 

(4) 假设 选中 [只 加 密 文 件 了 单 选 按钮 , 单 击 【确定 了 按钮 ,完成 文件 的 加 密 过 程 。 加 密 后 
的 文件 名 称 以 绿色 字体 显示 ,如 图 8-7 所 示 。 

(5) 双击 加 密 文件 ,可 以 正常 打开 该 文件 。 更 换 另 一 个 用 户 ( 如 : Ellen) 重 新 登录 ,并 试 
图 打开 该 加 密 文件 时 ,系统 会 弹出 如 图 8-8 所 示 【 错 误 ] 提 示 框 。 

篇: \ 个 人 资料 

文件 到 护 辑 下) 查看 WW 收 蕊 由) 工具) 下 助 如 | 那 


回民 -日 -了 | 户 二 XHK | 记 访 XX 巾 | 可 
eur He BE 


盎 工 作 浊 aoc 


本 | 工作 总 结 . doc 

吧 ] 人 才 培 养 模式 .doc 

器 | 数据 加 密 . doc 

呈 ] 网 络 工程 设计 与 安装 ,doc 


晤 网 者 基础 doc 本 Word, rs 


[EEE] LE | 


图 8-7 加 密 后 的 文件 名 称 以 绿色 字体 显示 图 8-8 【错误 提示 框 


苞 注 意 : 如 果 一 个 用 户 对 文件 或 文件 天 进行 了 加 密 , 那 么 只 有 这 个 用 户 可 以 访问 这 
个 文件 或 文件 夹 , 其 他 没有 访问 权限 的 用 户 是 不 能 访问 这 个 被 加 密 数 据 的 。 


2. 文件 夹 加 密 


文件 夹 加 密 , 具 体操 作 步 又 如 下 : 

(1) 重新 以 Sanny 账户 登录 系统 ,在 资源 管理 器 NTFS 格式 分 区 中 找到 要 加 密 的 文件 
夹 并 右 击 , 然 后 在 弹出 的 快捷 菜单 中 选择 【属性 了 命令 .在 打开 的 对 话 框 中 选择 【常规 了 选项 
卡 , 如 图 8-9 所 示 。 

(2) 单 击 [ 高 级 了 按钮 ,打开 如 图 8-10 所 示 的 [高 级 属性 对话 框 。 

(3) 勾 选 【加密 内 容 以 便 保护 数据 ] 复 选 框 , 单 击 【 确 定 ] 按 钮 ,将 弹出 如 图 8-11 所 示 【 确 
认 属 性 更 改 ] 提 示 框 。 在 此 提示 框 中 有 两 个 单 选 按钮 可 供 选 择 ( 如 果 文件 夹 是 空 的 , 则 不 会 


图 8-9 ”文件 夹 [属性 3 对 话 框 的 [常规 〗 选 项 卡 图 8-10 【高 级 属性 ] 对 话 框 


确认 尾 性 更 改 


8-11 【确认 属性 更 改 ] 提 示 框 


。 如 果 选 中 [ 仅 将 更 改 应 用 于 该 文件 夹 ] 单 选 按钮 ,那么 该 文件 夹 中 现 有 的 所 有 文件 和 
子 文件 夹 都 不 会 被 加 密 。 但 是 ,今后 添加 到 该 文件 夹 中 的 所 有 文件 和 子 文件 夹 将 被 
自动 加 密 。 

。 如 果 选 中 [将 更 改 应 用 于 该 文件 夹子 文件 夹 和 文件 有 单 选 按钮 ,那么 该 文件 夹 中 现 
有 的 所 有 文件 和 子 文件 夹 以 及 今后 添加 到 该 文件 夹 中 的 文件 和 子 文件 夹 都 将 被 
加 密 。 

(4) 假设 选中 [将 更 改 应 用 于 该 文件 夹 、 子 文件 夹 和 文件 ] 单 选 按 钮 , 单 击 【 确 定 ] 按 钮 ， 

完成 文件 夹 的 加 密 过 程 。 加 密 后 的 文件 和 文件 夹 名 称 以 绿色 字体 显示 (图 8-12)。 


8.3.3 用 EFS 对 文件 和 文件 夹 解密 
用 EFS 对 文件 夹 进行 解密 的 操作 步骤 如 下 。 


(1) 以 Sanny 账户 登录 系统 ,在 已 用 EFS 加 密 的 文件 夹 上 右 击 ,在 弹出 的 快捷 菜单 中 
选择 [属性 命令 ,在 打开 的 对 话 框 中 选择 [常规 〗 选 项 卡 ,如 图 8-9 所 示 。 


他 
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TE 
ET 下 3 
ORI-O-T?| PerlOxt | XI | 
re ee BE 
文件 夹 CS 网 络 设备 的 管理 


回 实 加 六 加 Cis 网 络 测试 仪器 和 


妆 已] 电脑 推 护 课 
[a 固守 七 国 cr 网 络 管理 实例 ?| 


加 个 人 资料 


Chl 网 络 管理 和 维护 基础 ppt 
本] 网 络 管理 系 Mt 


图 8-12 ”加密 后 的 文件 和 文件 夹 名 称 以 绿色 字体 显示 


(2) 单 击 [高 级 按钮 ,打开 如 图 8-10 所 示 的 【高 级 属性 ] 对 话 框 。 取 消 选 中 [加密 内 容 
以 便 保护 数据 ] 复 选 框 ,然后 单 击 【 确 定 ] 按 钮 ,返回 到 如 图 8-9 所 示 的 对 话 框 。 

(3) 单 击 [应 用 了 或 【确定 了 按钮 ,弹出 如 图 8-13 所 示 的 【确认 属性 更 改 ] 提 示 框 。 在 此 提 
示 框 中 有 两 个 单 选 按钮 可 供 选择 。 

。 如 果 选 中 [ 仅 将 更 改 应 用 于 该 文件 夹 】 [5 


单 选 按钮 ,那么 解密 文件 夹 中 的 加 密 Re 


文件 和 文件 夹 仍 保持 加 密 。 但 是 ,在 
已 解密 文件 夹 内 创立 的 新 文件 和 文件 | 革 9 要 % 训 用 入 交 伯 夹 。 汪 是 用时 各 用 于 所 有 子 详 伯 来 和 和 交 伯 
夹 将 不 会 被 自动 加 密 。 

如 果 选 中 [将 更 改 应 用 于 该 文件 夹子 
文件 夹 和 文件 有 单 选 按 钮 ,那么 将 同时 
对 该 文件 夹 以 及 其 下 的 子 文件 夹 和 文 
件 进行 解密 。 

用 EFS 对 文件 进行 解密 的 步骤 与 上 述 方法 类 似 ( 略 ) 。 


图 8-13 【确认 属性 更 改 ] 提 示 框 


8.3.4 启用 EFS 文件 共享 


企业 通常 希望 使 用 加 密 技术 以 帮助 保护 敏感 数据 ,但 同时 也 允许 多 个 用 户 访问 这 些 数 
据 。 借 助 EFS, 用 户 就 可 以 对 文件 进行 加 密 , 然 后 再 授予 其 他 用 户 访问 这 个 加 密 数据 的 权 
限 。 要 允许 几 个 用 户 访问 已 加 密 的 文件 ,这 个 文件 的 加 密 者 就 要 把 该 文件 设 成 共享 状态 , 然 
后 通过 添加 其 他 用 户 的 EFS 加 密 证 书 , 人 允许 他 们 共享 访问 这 个 加 密 的 文件 。 这 样 ,企业 可 
以 在 提高 安全 性 的 同时 ,确保 数据 的 可 用 性 。 


医 注 意 : 此 处 共享 的 只 是 针对 单个 的 加 密 文 件 ,而 不 能 是 加 密 文件 夹 。 所 有 添加 到 
加 密 文 件 中 的 用 户 ,必须 在 加 密 文件 所 在 的 计算 机 上 拥有 EFS 加 密 证 书 。 通 常 由 
Verisign 等 证 书 颁发 机 构 颁 发 证 书 。 此 外 .如果 用 户 已 经 登录 到 计算 机 上 并 对 其 中 的 加 
密 文 件 实施 了 解密 ,该 用 户 将 在 这 台 计 算 机 上 拥有 一 份 EFS 加 密 证 书 。 


具体 操作 步骤 如 下 

(1) 以 Administrator 账户 登录 系统 ,在 资源 管理 器 中 要 共享 的 加 密 文件 (加 密 用 户 为 
Administrator) 上 右 击 ,在 弹出 的 快捷 菜单 中 选择 [属性 命令 ,在 打开 的 对 话 框 中 选择 【[ 常 
规 〗 选 项 卡 ,如 图 8-14 所 示 。 

(2) 单 击 【[ 高 级 按钮 ,打开 如 图 8-15 所 示 的 【高 级 属性 ] 对 话 框 。 


图 8-14 ”文件 [属性 ] 对 话 框 的 [常规 〗 选 项 卡 图 8-15 【高 级 属性 对话 框 


(3) 单 击 [详细 信息 3 按钮 (如 果 是 加 密 文 件 夹 , 则 此 按钮 呈 灰 色 状 态 不 可 选 ) ,打开 如 
图 8-16 所 示 对 话 框 。 

(4) 如 果 要 共享 该 文件 的 用 户 已 在 列表 中 , 则 直接 选择 相应 用 户 ,然后 单 击 【确定 了 按钮 
即 可 。 和 否则 , 单 击 [添加 按钮 ,打开 如 图 8-17 所 示 的 【选择 用 户 ] 对 话 框 ( 一 )。 然 后 单 击 【 寻 
找 用 户 ] 按 钮 ,在 打开 的 对 话 框 中 单 击 【 高 级 按钮 ,接着 单 击 【 立 即 查找 按钮 ,打开 如 
图 8-18 所 示 的 【选择 用 户 ] 对 话 框 (二 ) ,选择 相应 用 户 账户 (如 Ellen) 。 


F:\ 个 人 资料 \ 工 作 计 划 . aoe 的 加 密 详 细 篇 息 


inistrator@l zzyce. com) C98B C344 2... 


图 8-16 【详细 信息 】 对 话 框 图 8-17 【选择 用 户 ] 对 话 框 (一 ) 
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lzzyee com/ 
lzzyee. con/, 
lzryee. econ/ 
lzryee. con/ 
lzryee. con/ 
lzryee. con/ 
lzzyee com/ 


图 8-18 【选择 用 户 3 对 话 框 (二 ) 


(5) 单 击 【 确 定 ] 按 钮 ,选择 的 用 户 账户 Ellen 出 现在 如 图 8-19 所 示 【 选 择 用 户 】 对 
话 框 (三 ) 中 ,再 单 击 【确定 ] 按 钮 , 即 把 相应 账户 添加 到 如 图 8-17 所 示 对 话 框 的 列表 
中 ,如 图 8-20 所 示 。 


一 一 一 一 be | 


查找 位 置 EF); 
Fe | 


输入 要 选择 的 对 象 名 称 例如 ) 全 ) : 


检查 名 称 C) | 


图 8-19 【选择 用 户 ] 对 话 框 (三 ) 图 8-20 ”添加 新 的 共享 用 户 后 的 【选择 用 户 ] 对 话 框 


如 果 此 时 想 查看 该 用 户 的 证 书 , 单 击 [ 查 看 证 书 ] 按 钮 ,打开 【证 书 ] 对 话 框 ,在 如 图 8-21 
所 示 的 【常规 了 选项 卡 中 可 以 查看 该 用 户 的 基本 EFS 证 书 的 创建 和 发 布 信息 ,在 如 图 8-22 
所 示 的 【详细 信息 了 选项 卡 中 可 以 更 全 面 地 了 解 该 用 户 的 基本 EFS 证 书信 息 。 

通过 上 述 配置 ,所 有 在 图 8-20 中 列 出 的 用 户 都 可 以 共享 该 加 密 文件 了 。 


苞 注 意 : 这 里 的 “共享 是 指 可 以 在 同一 台 计 算 机 中 允许 多 个 用 户 访问 由 某 一 用 户 
加 密 的 文件 ,而 不 是 指 通过 网 络 进行 的 共享 ”。 
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see 


这 个 证 书 的 目的 如 下 : 
。 人 允许 加 密 磁盘 上 的 数据 2008 年 6 月 25 日 12:32:58 
2009 年 6 月 25 日 12:32:58 


Ellen, Vsers, lrryce, con 
RSA (1024 Bits) 

Key Encil 

[1]SHINE Capability: Ob. 


颁发 者 :wane-CA 


有 效 起 始 日 期 2006-6-25 到 2009-6-25 


编辑 属性 正 ). ，| 复制 型 文 件 C) . 


图 8-21 【证 书 ] 对 话 框 的 [常规 〗 选 项 卡 图 8-22 【证 书 ] 对 话 框 的 [详细 信息 3 选项 卡 


8.4 配置 故障 恢复 代理 


8.4.1 配置 故障 恢复 代理 概述 


EFS 对 文件 或 文件 夹 进行 加 密 是 依赖 PKI 中 的 公 钥 和 私 钥 对 (任何 用 户 账户 在 创建 后 
第 一 次 登录 系统 时 就 会 自动 分 配 到 一 个 公 钥 / 私 钥 对 ) , 公 钥 用 来 加 密 , 私 钥 用 来 解密 。 作 为 
Windows 2000/XP/Server 2003 系统 安全 策略 的 一 部 分 ,通过 故障 恢复 代理 可 以 恢复 加 密 
的 数据 。 例 如 ,由 于 磁盘 故障 .自然 灾害 ,用户 遗忘 或 雇员 离开 公司 等 原因 造成 文件 加 密 证 
书 和 相关 私 匙 丢失 ,那么 指定 为 故障 恢复 代理 的 人 员 可 以 进行 数据 的 恢复 。 


1. 故障 恢复 代理 


故障 恢复 代理 是 指 获得 授权 解密 由 其 他 用 户 加 密 的 数据 的 个 人 。 在 添加 域 故障 恢复 代 
理 之 前 ,必须 确保 每 位 故障 恢复 代理 均 获得 了 X. 509 v3 类 型 的 证 书 。 

如 果 用 户 是 故障 恢复 代理 ,务必 在 MMC(Microsoft Management Console, 微 软 管理 控 
制 台 ) 的 【证 书 ] 中 使 用 [导出 了 命令 ,将 故障 恢复 证 书 和 相关 私 钥 备 份 到 安全 位 置 。 备 份 完成 
后 ,应 该 使 用 MMC 中 的 证 书 删除 故障 恢复 证 书 。 然 后 ,在 需要 为 用 户 执行 故障 恢复 操作 
时 ,首先 从 MMSC 的 【证 书 ] 中 使 用 [导入 了 命令 还 原故 障 恢 复 证 书 和 相关 私 钥 。 恢 复数 据 之 
后 ,应 该 再 次 删除 故障 恢复 证 书 , 不 必 重 复 导 出 过 程 。 要 对 域 添加 故障 恢复 代理 ,必须 将 他 
们 的 证 书 添加 到 现 有 的 故障 恢复 策略 中 。 


2. 故障 恢复 策略 
恢复 策略 是 单位 的 安全 策略 之 一 ,目的 在 于 出 现 意 外 时 能 够 恢复 加 密 文件 。Windows 
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2000/Server 2003 分 配 有 默认 的 恢复 代理 ,Windows XP 系统 没有 。 
故障 恢复 策略 是 为 单独 的 计算 机 在 本 地 组 策略 上 配置 的 。 对 于 网 络 中 的 计算 机 ,可 以 
在 域 . 部 门 或 单独 计算 机 级 别 组 策略 上 (图 8-23) 配 置 故障 恢复 策略 ,并 将 其 应 用 到 策略 可 
应 用 的 所 有 基于 Windows XP/Server 2003 家 族 的 计算 机 上 。 用 户 可 以 使 用 MMC 中 的 [证 
书 了 来 管理 故障 恢复 证 书 。 
而 组 策 略 筷 辑 器 
文件 中 操作) 查看 帮助 0D 


所 守 | 白 国生 | 轩 四 | 多 
“本 地 计算 机 ”策略 


蝗 - 国 计算 机 配置 
图 -加 软件 设置 


日 国 Windows 设置 


图 8-23 组 策略 中 的 故障 恢复 代理 配置 项 


在 域 中 , 当 设 置 第 一 个 域 控制 器 时 , Windows Server 2003 家 族 执行 该 域 的 默认 故障 恢 
复 策 略 。 自 行 签署 的 证 书 将 颁发 给 域 管理 员 ,将 域 管理 员 指定 为 故障 恢复 代理 。 要 更 改 域 
的 默认 故障 恢复 策略 ,可 以 管理 员 身 份 登录 到 第 一 个 域 控制 器 ,将 其 他 故障 恢复 代理 添加 到 
本 策略 中 ,并 且 可 以 随时 删除 原始 故障 恢复 代理 。 


8.4.2 配置 故障 恢复 代理 的 步骤 
配置 故障 恢复 代理 需要 在 域 控 制 器 中 进行 。 具 体 步骤 如 图 8-24 所 示 。 


创建 企业 证 书 | | 配置 “EFS 故 申请 “EFS 故 配置 故障 恢复 
颁发 机 村 | 障 恢复 代理 入 槛 代理 组 策略 


证 书 模板 
图 8-24 配置 故障 恢复 代理 的 步骤 


1. 创建 企业 证 书 颁 发 机 构 (CA) 


在 申请 证 书 前 必须 在 当前 计算 机 中 安装 证 书 服务 (该 组 件 通过 系统 的 “添加 或 删除 程 
序 ” 工 具 安 装 ) ,并 配置 企业 CA, 然 后 申请 证 书 。 具 体操 作 步 又 如 下 : 

(1) 以 Administrator 账户 登录 域 控制 器 (建议 采用 Windows Server 2003 R2 
EnterPrise Edition) ,在 【控制 面板 ] 徐 口中 双击 【添加 或 删除 程序 ] 图 标 ,打开 如 图 8-25 所 示 
的 【添加 或 删除 程序 了 窗口 。 

(2) 在 左边 的 导航 栏 中 单 击 【添加 /删除 Windows 组 件 ] 按 钮 ,打开 如 图 8-26 所 示 的 


【Windows 组 件 ] 对 话 框 ,选择 【证书 服务 选项 。 


网 络 安全 技术 案例 教程 


蕊 添加 或 删除 程序 


排序 方式 G): [EB 午 “” ”” 辐 
sap 四 


琵 Kaspersky Anti-Virus 7.0 
[a Microsoft Office Professional Edition 2003 
EC 各 TDIA Drivers 
Bla i Resltek MC 7 Audio 


Windows 


姐 件 凶 ) 


《2 超级 旋风 1.8. 199. 202 
人 紫光 华宇 拼音 输入 法 5 


图 8-25 【添加 或 删除 程序 ] 窗 口 


Yindors 姐 件 
可 以 添加 或 册 除 Windows 的 组 件 。 


描述 : 安装 证 书 颁发 机 构 A) 以便 颁 发 证 书 用 于 公 租 安 全 程序 。 


所 需 磁 盘 空间 :; 2.9 上 
可 用 磁盘 空间 : 9580.4 有 | 


sw [Bm] NR | 


图 8-26 【Windows 组 件 ] 对 话 框 


(3) 单 击 【下 一 步 ] 按 钮 ,系统 会 弹出 如 图 8-27 所 示 的 【Microsoft 证 书 服务 提示 框 , 提 
示 安 装 了 证 书 服务 后 ,计算 机 名 和 域 成 员 身份 就 不 能 改变 了 。 
Microsoft 证 书 服务 济 


TT 
.在 实 半 证 和 最 区 共计 


[ev _ sw | 


图 8-27 【Microsoft 证 书 服务 提示 框 


(4) 单 击 【 是 3 按钮 ,打开 如 图 8-28 所 示 的 【Windows 组 件 向 导 了 3 对话 框 。 这 时 要 选择 创 
建 的 企业 CA 的 类 型 ,由 于 安装 证 书 服务 需要 创建 企业 根 CA, 所 以 选择 [企业 根 CA 了 单 选 
按钮 。 


(5) 单 击 [ 下 一 步 ] 按 钮 ,打开 如 图 8-29 所 示 的 [CA 识别 信息 对话 框 。 在 文本 框 中 为 
创建 的 企业 根 CA 取 名 ,并 对 其 进行 简要 说 明 ,配置 CA 的 有 效 期 。 


8-28 【Windows 组 件 向 导 】 对 话 框 图 8-29 【CA 识别 信息 3 对 话 框 


(6) 单 击 [ 下 一 步 ] 按 钮 ,打开 如 图 8-30 所 示 的 【证书 数据 库 设置 ] 对 话 框 。 在 此 要 选择 
配置 证 书 数据 库 和 证 书 数据 库 日 志文 件 所 存放 的 路 径 , 一 般 按 默认 设置 即 可 。 


ws 钥 件 和 疹 导 


证 书 数据 库 设 置 
输入 证 书 数据 库 、 数 据 库 日 志和 配置 信息 的 位 置 . 


8-30 【证 书 数据 库 设 置 ] 对 话 框 


(7) 单 击 【 下 一 步 ] 按 钮 ,系统 会 弹出 如 图 8-31 所 示 的 [Windows 证 书 服务 了 提示 框 。 提 
示 用 户 在 安装 证 书 服务 时 ,Internet 信息 服务 将 暂停 。 


图 8-31 【Windows 证 书 服务 提示 框 
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zi 


(8) 单 击 【 是 ] 按 钮 ,开始 安装 证 书 服务 所 需 组 件 , 并 对 证 书 服务 数据 库 进 行 配置 。 完 
后 ,在 【管理 工具 了 莱 单 下 即 可 使 用 [证 书 颁发 机 构 了 命令 了 。 此 后 用 户 即 可 申请 自己 的 证 书 
(包括 本 章 所 介绍 的 EFS 故障 恢复 代理 证 书 ) 。 


2. 配置 “EFS 故障 恢复 代理 ”证 书 模板 


通过 配置 [EFS 故障 恢复 代理 证 书 模板 .添加 指定 的 用 户 , 使 该 用 户 具 有 使 用 该 模板 
进行 注册 的 权限 。 

具体 操作 步骤 如 下 : 

(1) 在 [运行] 对 话 框 中 输入 certtmpl. msc 命令 ,打开 【证 书 模板 控制 台 窗 口 ,如 
图 8-32 所 示 。 


[证 书 模板 ] 
克文 件 中 扣 作 和 ) 查看 WD 窗口 中 
+ 小]| 四 | 办 加 | 多 


ER certtepl 


帮助 中 


Windows Server 
Windows 2000 


:FS 故障 恢复 代理 -A Windows Server 
Exchange 用 户 Windows 2000 
Exchange 注册 代理 锐 机 申请 ) Windows 2000 
[Irsec Windows 2000 
Windows 2000 


Windows Server 
Windows 2000 
Windows 2000 
Windows Server 


Windows 2000 
wii onnn_ 四 
.| 


图 8-32 【证 书 模板 ] 控 制 台 窗口 


(2) 在 [EFS 故障 恢复 代理 了 证 书 模板 上 右 击 ,在 弹出 的 快捷 菜单 中 选择 【复制 模板 了 命 
令 , 打 开 如 图 8-33 所 示 的 【新 模板 的 属性 对 
话 框 。 在 [常规 ] 选 项 卡 的 文本 框 中 为 新 模 rr 
板 命名 ,并 选中 【在 Active Directory 中 颁发 Ee 一 一 一 | 一 一 一 一 一 一 ~ 
模板 显示 名 称 疆 ) 
证 书 ] 复 选 框 。 PS 故障 恢 : A 
3) 切换 到 [取代 模板 】 选 项 卡 ,如 图 8-34 景 低 支持 的 CA: Windows Server 2003, Enterprise Edition 
将 改动 应 用 到 这 个 选项 卡 之 后 ， 修 就 无 法 再 更 改 模板 和 名。 
所 示 。 单 击 【添加 3 按钮 ,打开 如 图 8-35 所 示 ee 
的 [添加 取代 模板 】 对 话 框 。 在 其 中 选择 原来 | 
的 [EFS 故障 恢复 代理 证 书 ] 模 板 , 单 击 [ 确 | swe el 
定 ] 按 钮 , 即 把 [EFS 故障 恢复 代理 证 书 模板 | Gm | GE| 
添加 到 取代 模板 列表 中 ,如 图 8-36 所 示 。 


忆 和 etive it 市古 有 国 | 
(4) 切换 到 【安全 选项 卡 . 如 图 8-37 所 厂 攻 人 Jeetory 中 有 一 个 重复 下 节 ， 不 要 自动 重新 


示 。 在 默认 情况 下 ,可 以 注册 密 钥 恢 复 代理 
证 书 模板 的 安全 组 只 是 Domain Administrators 
和 Enterprise Administrators 组 。 图 8-33 【新 模板 的 属性 ] 对 话 框 的 [常规 ] 选 项 卡 


添加 取代 各 板 


Windows Server 2003, E 
Windows 2000 

Windows 2000 

Windows 2000 

Windows 2000 

Windows 2000 

Windows 2000 

Windows Server 2003, E 


Windows 2000 引 


@ Aaninistrator (LZZICE\Adninistrator) 

最 Anthenticated Users 

Dnain Adnins 0ZzYCE\Donsin Adnins) 
lenterprise Abins (ZZ2YCE\Enterprise Adnins) 


图 8-36 ”在 【取代 模板 3 选项 卡 中 添加 模板 图 8-37 【安全 ] 选 项 卡 


(5) 单 击 [ 添 加 按钮 ,打开 如 图 8-38 所 示 【 选 择 用 户 、 计 算 机 或 组 ] 对 话 框 。 在 文本 框 
中 输入 要 成 为 故障 恢复 代理 的 用 户 账户 (该 账户 必须 在 域 中 ,如 Sanny)。 单 击 【 确 定 ] 按 钮 ， 
返回 到 如 图 8-37 所 示 的 对 话 框 中 。 此 时 已 添加 了 新 的 账户 ,选择 该 账户 ,然后 在 下 面 的 
【Sanny 的 权限 列表 中 选中 [ 读 取 】 和 【注册 ] 复 选 框 ,如 图 8-39 所 示 。 

(6) 单 击 【确定 了 按钮 , 即 完成 模板 的 配置 。 下 面 可 以 由 新 添加 的 用 户 自己 申请 【KEFS 故 


障 恢复 代理 证 书 模板 了 。 
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常规 。 “| 处理 清 求 ”| 使 用 者 名 称 。| 颁发 要 求 | 
取代 模板 | 扩展 安全 


@ Administrator (LZZICE\Adninistrator) 

BR Authenticated Users 

Donain Mnins QZ7ICE\Donain Adnins) 
Enterprise Adnins QZZYCE\Enterprise Admins) 
Sanny Gannyelrryee. net) 


选择 用 户 、 计 算 机 或 组 | 
册 除 级 ) | 


"| 


拒绝 
口 
口 
口 
口 
口 


口 轿 吕 四 口 


高 级 吕 ) 


图 8-38 【选择 用 户 ,计算 机 或 组 3 对 话 框 图 8-39 ”添加 新 用 户 后 的 【安全 】 选 项 卡 


3. 申请 EFS 故障 恢复 代理 证 书 


可 以 通过 两 种 方法 申请 证 书 : 证 书 申请 向 导 方 式 和 网 页 方式 。 

(1) 方法 一 : 以 证 书 申请 向 导 方式 申请 “EFS 故障 恢复 代理 ”证 书 模板 。 

这 种 方法 分 两 步 进行 : 首先 添加 证 书 管理 单元 ,然后 申请 EFS 故障 恢复 代理 证 书 ” 模 
板 。 下面 以 Sanny 账户 登录 域 控制 器 为 例 说 明 。 具 体操 作 步 又 如 下 : 

@ 在 【运行 ] 对 话 框 中 输入 MMC 命令 ,打开 如 图 8-40 所 示 【 控 制 台 ] 窗 口 。 选 择 【 文 
件 M【 添 加 /删除 独立 管理 单元 3 命令 ,打开 如 图 8-41 所 示 的 [添加 /删除 管理 单元 ] 对 话 框 。 


文件 外 操作) 查看 WD” 收 套 天 QQ) 窗口 和 D 帮助 


人 祁 || 四 | 图 | 多 


此 视图 中 没有 可 显示 的 项 目 。 


图 8-40 【控制 台 ] 窗 口 


@ 单 击 [ 添 加] 按钮 ,打开 如 图 8-42 所 示 的 【添加 独立 管理 单元 ] 对 话 框 。 在 其 中 双击 
选择 [证 书 ] 选 项 ,打开 如 图 8-43 所 示 的 【证 书 管理 单元 ] 对 话 框 。 在 其 中 选择 【我 的 用 户 账 
户 了 单 选 按钮 。 

@ 单 击 [完成 ] 按 钮 ,返回 到 如 图 8-42 所 示 的 对 话 框 。 然 后 单 击 【 关 闭 ] 按 钮 ,返回 到 如 
图 8-41 所 示 的 对 话 框 。 最 后 单 击 [确定 了 按钮 ,返回 到 如 图 8-40 所 示 的 【控制 台 J 和 窗口 ,此 时 
已 添加 了 【证 书 管理 单元 】, 如 图 8-44 所 示 。 


他 


添加 /删除 管理 单元 


Microsoft Corpora. .. 


Microsoft Corpora. .. 
Mierosoft Corpora. .. 
Mierosoft Corpora. .. 
Mierosoft Corpora. .. 
Microsoft Corpora.. 
Mierosoft Corpora. 

Microsoft Corpora. . 
Mierosoft Corpora . 


图 8-42 【添加 独立 管理 单元 3 对 话 框 


图 8-44 【证 书 ] 控 制 台 


@ 接 下 来 ,申请 “EFS 故障 恢复 代理 证 书 ”。 在 如 图 8-44 所 示 控 制 台中 选择 [证书 〗/ 
【个 人 XA【 证 书 〗 选 项 , 右 击 (图 8-45) 并 选择 【申请 新 证 书 ] 命 令 , 打 开 如 图 8-46 所 示 的 【欢迎 


使 用 证 书 申请 向 导 】 对 话 框 。 
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文件 四 。 操作 个) 查看 WW 收藏 天 0) 。 钱 口 @J。 帮助 吕 | 欢迎 使 用 证 书 申请 向 导 
守 沙 | 旬 | 四 | 谭 | 辐 加 | 多 
im 控制 台 根 节点 \ 证 书 - 当 羡 用 户 \ 个 人 \ 证 书 二 二 RARNEY 机构 让 中 访问 
[加 控制 台 根 节点 十 发 疆 3 


容 ， 尼 全 有 用 采 
四 


$v 人 


四 口 要 信 “新 任务 板 视 图 0) 要 继续 ， 请 单 击 “ 下 一 步 "按钮 。 


图 8-45 【申请 新 证 书 ] 控 制 台 图 8-46 【欢迎 使 用 证 书 申请 向 导 ] 对 话 框 


@ 单 击 【 下 一 步 ] 按 钮 ,打开 如 图 8-47 所 示 [ 证 书 类 型 对话 框 。 在 其 中 选择 【EFS 故障 
恢复 代理 】 选 项 (如 果 要 对 所 申请 的 证 书 进行 高 级 配置 , 则 选中 [高 级 ] 复 选 框 )。 


证 书 类 型 
证 书 类 型 包含 为 证 书 预先 设置 的 怀 性 值 


人 修 只 能 沪 问 来 自 受 信任 的 CA 并 且 您 有 权限 访 


证 书 类 型 €); 


到 
基本 EFS 
系统 管理 员 
用 户 


| 
图 8-47 【证 书 类 型 ] 对 话 框 


芍 注 意 ; 如 果 没 有 进行 前 面 的 步骤 (第 2 步 : 以 Administrator 账户 登录 系统 ,配置 
【EFS 故障 恢复 代理 了 证 书 模板 ,使 Sanny 账户 具 有 使 用 该 模板 进行 注册 的 权限 ) ,那么 非 
系统 管理 员 账 户 进行 证 书 申请 时 ,此 步 所 出 现 的 对 话 框 如 图 8-48 所 示 , 其 中 没有 【EFS 故 
障 恢复 代理 】 选 项 。 


@ 在 如 图 8-47 所 示 的 对 话 框 中 选中 [高 级 ] 复 选 框 . 单 击 【 下 一 步 ] 按 钮 ,打开 如 图 8-49 所 
示 的 【加 密 服 务 提供 程序 〗 对 话 框 。 选 择 Microsoft Enhanced Cryptographic Provider v1. 0( 扩 展 
加 密 服务 提供 程序 ) 选 项 。 还 可 选择 与 证 书 关联 的 公 钥 长 度 .如果 希望 启用 强 私 钥 保 护 ,可 选 
中 [启用 强 私 钥 保护 ] 复 选 框 (启用 强 私 钥 保 护 将 确保 在 每 次 使 用 私 钥 时 都 提示 )。 

@ 单 击 【 下 一 步 按 钮 .打开 如 图 8-50 所 示 的 【证 书 颁发 机 构 】 对 话 框 。 如 果 公 司 网 络 中 具 
有 多 个 可 用 的 CA, 则 通过 单 击 【浏览 按钮 选择 所 需 CA 的 名 称 (如 果 只 有 一 个 CA, 则 无 须 选择 )。 

@ 单 击 【下 一 步 ] 按 钮 ,打开 如 图 8-51 所 示 的 [证书 的 好 记 的 名 称 和 描述 对 话 框 。 在 
文本 框 中 为 创建 的 “EFS 故障 恢复 代理 证 书 ” 取 一 个 好 记 的 名 字 , 并 可 进行 适当 的 描述 。 


第 8 章 PKI 与 加 密 技术 


| 证 书 申 请 向 导 
证 书 类 型 
证 书 尖 型 包含 为 证 蔬 融 先 设置 的 必 性 信 - 


加 密 服 务 提供 程序 
加 客服 务 提供 程序 (CSP) 为 加 密 和 解密 兆 息 生成 公 钥 和 私 钥 对 。 


放生 Ts 修 只 能 访问 来 自爱 信 任 的 CA 并 且 次 有 祝 限 访 


证 书 类 型 C) 


要 渤 择 加 密 根 务 提供 程序 和 CA， 过 择 “高 好 ”。 
厂 高 级 四 


太 标 老 此 密 钥 为 可 导出 的 。 这 格 允 许 您 在 秽 后 备份 或 传 辆 密 钥 吕 ) 
Ea 1 如 果 局 用 这 个 选项 ， 每 次 应 用 程序 使 用 私 钼 时 ， 悠 都 会 得 


mm | 
图 8-48 无 注册 权限 用 户 的 【证 书 类 型 对话 框 


证 书 体 发 机 构 
证 书 申请 被 发 送 到 了 您 选择 的 证 书 颌 发 机 构 ， 


《上 一 步 中 ) 取消 


图 8-49 【加 密 服 务 提供 程序 ] 对 话 杠 


证 书 中 请 向 导 


证 书 的 好 记 的 名 称 和 擅 述 
您 可 以 提供 名 称 和 描述 ， 以 便 快速 识别 某 个 证 书 。 


为 新 证 书 律 入 好 记 的 名称 和 描述 。 
好 记 的 名 称 了 了 ) 
Fearzrs 证 书 


共 述 四 ) 


md) TE 取消 


图 8-50 【证 书 颁发 机 构 ] 对 话 框 


| 


图 8-51 【证 书 的 好 记 的 名 称 和 描述 3 对 话 框 


@ 单 击 [下 一 步 ] 按 钮 ,打开 如 图 8-52 所 示 的 【正在 完成 证 书 申请 向 导 】 对 话 框 。 其 中 
显示 了 向 导 配 置 的 摘要 (如 果 觉 得 某 项 配置 不 正确 ,可 以 通过 单 击 ( 上 一 步 ] 按 钮 返回 到 相应 


步骤 重新 配置 ) 。 


正在 完成 证 书 申请 向 导 


您 已 成 功 地 完成 了 证 书 申请 向 导 。 


wane-CA 

EFS 故障 恢复 代理 
CSP Microsoft Enhanced Cryptogrsph 
晤 小 密 钥 大 小 1024 


图 8-52 


【正在 完成 证 书 申请 向 导 】 对 话 框 


255 
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外 单 击 [ 完 成 3 按钮 ,打开 如 图 8-53 所 示 的 【应 用 程序 正在 创建 受 保护 的 项 目 ] 对 话 框 , 提 
示 正 在 创建 受 保护 的 私 钥 。 如 果 要 设置 私 钥 的 安全 级 别 , 则 单 击 【设置 安全 级 别 了 按钮 ,在 打开 
如 图 8-54 所 示 的 【选择 适合 于 这 个 项 目的 安全 级 别 了 对话 框 中 进行 设置 。 再 单 击 [ 下 一 步 ] 按 
钮 , 回 到 如 图 8-53 所 示 的 对 话 框 。 单 击 【确定 了 按钮 ,系统 会 弹出 【证 书 申请 成 功 ] 提 示 框 。 


[正在 创建 新 的 RSA 交 的 密 钥 了 正在 创建 新 的 ESA_ 交 投 密 钥 
选择 适合 于 这 个 项 目的 安全 级 别 。 


福 高 吧 
要 使 用 这 个 项 目 时 ， 需 用 密码 得 到 我 的 许可 。 


ww | 


图 8-53 【应 用 程序 正在 创建 受 保护 的 项 目 ] 对 话 框 ”图 8-54 【选择 适合 于 这 个 项 目的 安全 级 别 ] 对 话 框 


创建 后 的 *EFS 故障 恢复 代理 证 书 ” 会 在 【证 书 服务 了 控制 台 的 【证 书 -当前 用 户 了 个 
人 23 证书] 列表 中 显示 ,如 图 8-55 所 示 。 


文件 中 ” 揪 作 以 ) 查看 WW 收藏 天 QQ) 窗口 加) 帮助 人 D 


| 给 “| 颁发 者 | 埠 止 日期 | 预 骨 目 的 ”| 好 i 
wangCA 2010-6-24 简 恢 : 
wane-CA 2009-6-25 


图 受信 任 人 
由 - 辐 证 书 注册 申请 


图 8-55 ”申请 的 EFS 故障 恢复 代理 证 书 ” 


(2) 方法 二 : 以 网 页 方式 申请 “EFS 故障 恢复 代理 "证书 。 

默认 情况 下 ,每 一 个 Windows Server 2003 证 书 颁发 机 构 CA 都 有 可 供用 户 和 管理 员 
使 用 的 网 页 。 这 些 页 面 可 用 于 执行 与 申请 证 书 相 关 的 多 种 任务 ,该 网 页 位 于 http:// 
servername/certsrv, 其 中 servername 是 主持 CA 的 服务 器 名 称 ( 或 该 服务 器 的 IP 地 址 ) 。 


邯 注 意 ， http://servername/certsrv 中 的 certsrv 部 分 应 该 用 小 写字 母 ,否则 ,在 检 
查 和 获取 证 书 时 可 能 出 问题 。 用 户 可 使 用 IE 5.0 和 更 高 版 本 ,或 Netscape Navigator 
3.01 和 更 高 版 本 来 访问 这 些 网 页 。 
对 于 向 独立 CA 申请 证 书 的 用 户 , 网 页 方式 是 唯一 的 申请 途径 。 对 于 向 企业 CA 申请 
证 书 的 用 户 ,网 页 方式 是 可 选 的 ,还 可 以 通过 前 面 介 绍 的 证 书 申请 向 导 方 式 进行 。 
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具体 操作 步骤 如 下 
@ 以 Sanny 账 户 登录 域 控制 器 ,打开 浏览 问 , 在 地 全 rr 
址 栏 中 按 http://servername/certsrv 格式 输入 (如 : 
http://192. 168. 1. 53/certsrv) ,打开 如 图 8-56 所 示 的 


正在 连接 到 192. 168.1.53 


【身份 验证 对 话 框 。 在 其 中 输入 故障 恢复 代理 的 用 户 | 二 Eee | 
各 和 密码 。 -0 
@ 单 击 [ 确 定 ] 按 钮 ,进入 证 书 申请 网 页 首页 ,如 eR 
图 8-57 所 示 。 
@ 单 击 [ 申 请 一 个 证 书 ] 链 接 ,打开 如 图 8-58 所 示 [一 广汉 
的 【申请 一 个 证 书 ] 页 面 。 图 8-56 【身份 验证 ] 对 话 杠 


@ 单 击 [高 级 证 书 申 请 3 链接 ,打开 如 图 8-59 所 示 
的 【高 级 证 书 申请 页面 ( 一 )。 通 过 【高 级 选项 的 选择 ,允许 在 证 书 申请 上 赋予 用 户 更 大 的 
控制 权限 。 
避 mi croseft 证 书 服务 - Nicrosoft Internet Explorer 
文件 下) 蝙 辑 ) 查看 如 ) 收 训 和 工具 人 帮助 中 
器 恨 - 昌 -四 有 信人 搜索 二 收 戌 天 好 提 体 可 | 〇 -安国 - 


地 址 由) ET /J/192. 168. 1. 53/certsrv/default. asp 


使 用 此 网 站 为 您 的 Web 浏览 器 ， 电 子 邮 件 客户 端 或 其 他 程序 申请 一 个 证 书 。 通 过 使 用 证 书 ， 您 可 以 向 通过 
Web 通信 的 人 确认 您 的 身份 ， 签 署 并 加 密 邮 件 ， 并 且 ， 根 据 您 申请 的 证 书 的 类 型 ， 执 行 其 他 安全 任务 。 


您 也 可 以 使 用 此 网 站 下 载 证 书 颁 发 机 构 (CA) 证 书 ， 证 书 链 ， 或 证 书 吊销 列表 (CRL) ， 或 查看 挂 起 的 申请 的 状 


有 关 证 书 服务 的 详细 信息 ， 请 参阅 证 书 服务 文档 . 
选择 一 个 任务 : 
申请 一 个 证 书 


ft 证 书 服务 - Nicrosoft Internet xplerer 六 
文件 如 编辑 上 可 看 YW 收 戌 0) 工具 I) 帮助 如 - 
日 恨 -加 - 站 日 四 | 三 拓 届 天 好 娄 体 人 wi 
IE [ 同 wttp /i9168. 1 53/certsrr/ certrans ep 


Er 区 总 
回民 -日 -四 辐 避 | 帮 扫 雪 语 收 天 如 六 休 伯 | 站 "与 辐 -DD “ 
| 笑 wtts wise 168.1.53/ corterv/ eertrand ssp 


Wiereseft 证 上 0 服务 -- vans-CA 


高 级 证 书 申请 


申请 一 个 证 书 
Ch 的 策 喇 决定 您 可 以 申请 的 证 书 类 别 。 单 击 下 列 迁 项 之 一 来 : 
选择 一 个 证 书 类 型 : 
1 并 向 一 个 申请。 
用 证 亨 建 并 向 此 CA 提交 一 个 申 1 


base64 编码 的 QIC 或 PKCS #10 文件 证 书 申请 ,如 
base64 编 到 的 EC5 #7 订 证 书 革 请 。 

通过 使 用 智 胃 卡 证 书 注册 站 来 为 昂 一 用 户 申请 一 个 智能 卡 证 书 。 
证 意 : 您 必须 有 一 个 注册 代 香 证 书 来 为 另 一 洒 户 近 文 请 让。 


或 者 ， 提 交 一 个 高 级 证 书 申请 。 


[Ea 


图 8-58 【申请 一 个 证 书页 面 图 8-59 【高 级 证 书 申请 ] 页 面 (一 ) 


I Er 
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@ 单 击 【 创 建 并 向 此 CA 提交 一 个 申请 ] 链 接 , 打 开 如 图 8-60 所 示 的 【高 级 证 书 申请 ] 页 

面 (二 )。 在 【证 书 模板 】 下 拉 列 表 框 中 选择 [EFS 故障 恢复 代理 】 选 项。 


潮 Wicrosoft 证 书 服务 - Wicrosoft Internet Explerer 


文件 如 编辑 名 ”查看 名 收 着 内 工具 中 下 助人 0 区 3 


加 扫 - 昌 - 因 因 由 | 让 RR 如 加 入 如 | 人 -了 固 -网 汉 。 | 
天 十 加 | 多 http://192 168.1.53/certsrv/certrqna asp ESES: .2d 


新 iereseft 证 书 服务 一 wane-CA 


系统 管理 员 
系统 管理 员 
基本 EFS 


使 用 现存 的 密 钥 集 


用 户 
从 属 证 书 颁发 机 构 yptographic Provider v1.0 司 
窗 钥 用 法 : IWeb 服务 器 


密 钥 大 小 : [1024 全 全 33 (放大 全: 3 3104 23045 1098 393 1854 ) 
人 自动 密 钥 容器 名 称 个 用户 指 定 的 密 钥 容器 名 称 
网 标记 密 钼 为 可 导出 
所 导出 密 名 到 文件 
厂 启用 强 私 铀 保护 


厂 将 证 书 保存 在 本 地 计算 机 存储 中 


图 8-60 【高 级 证 书 申请 页面 ( 二 ) 


匿 注意 : 如 果 没有 进行 前 面 的 步骤 (第 2 步 : 以 Administrator 账户 登录 系统 ,配置 
【EFS 故障 恢复 代理 证书 模板 ,使 Sanny 账户 具有 使 用 该 模板 进行 注册 的 权限 ) ,那么 非 系 
统管 理 员 账 户 进行 证 书 申请 时 ,此 步 所 出 现 的 下 拉 列 表 框 中 没有 KEFS 故障 恢复 代理 】 选 项。 


在 高 级 证 书 申请 中 可 供用 户 选 择 的 选项 包括 以 下 几 项 。 

。 加 密 服务 提供 程序 选项 : 加 密 服 务 提供 程序 的 名 称 、 密 钥 大 小 、 散 列 算法 (SHA/ 
RSA、SHA/DSA、MD2、MD5) 和 密 钥 规格 (交换 或 签名 ) 。 

。 密 钥 生成 选项 : 创建 新 密 钥 集 或 使 用 现 有 密 钥 集 、 将 密 钥 标记 为 可 导出 、 启 用 强 密 
钥 保 护 以 及 使 用 本 地 计算 机 存储 区 来 生成 密 钥 。 

。 其 他 选项 : 将 申请 保存 到 PKCS #10 文件 ,或 添加 希望 添加 到 证 书 的 任何 特定 属 
性 。 并 可 配置 证 书 名 称 。 


医 注 意 ; Netscape 客户 端 无 法 使 用 高 级 选项 网 页 。 


@ 配置 好 后 , 单 击 页 面 底部 的 [提交 按钮 (图 中 未 显示 ) ,系统 会 弹出 如 图 8-61 所 示 的 
【潜在 的 脚本 冲突 了 提示 框 。 单 击 【是 了 按钮 ,打开 如 图 8-62 所 示 的 【证 书 已 颁发 提示 页 面 ， 
提示 要 安装 此 证 书 。 

[sens 一 
A 上 个 新 IE 蔬 。 你 应 该 只 介 许 信任 的 网 站 为 您 汪 家 证 节 - 
_av | 


图 8-61 【潜在 的 脚本 冲突 提示 框 
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潮 icrosoft 证 书 服务 - Wicreseft Tnternet ER 四 

文件 加。 编辑 EE) 查看 W) 收 总 办 工具 上 帮助 0 | 起 
RE ET 
甫 十 加 | 图 Nt://lse 163. 1 53/certsrv/eerttnsh sp 本 | 国 腾 到 | 梁 近 2 


证 书 已 颁发 
您 申请 的 证 书 已 颁发 给 您 。 


[Es Esme 


BE 


图 8-62 【证 书 已 颁发 ] 提 示 页 面 


@ 单 击 【 安 装 此 证 书 ] 链 接 , 系 统 会 弹出 如 图 8-63 所 示 的 【潜在 的 脚本 冲突 ] 提 示 框 。 
单 击 【 是 ] 按 钮 ,开始 安装 新 建 的 “EFS 故障 恢复 代理 证 书 ”, 完 成 后 出 现 如 图 8-64 所 示 的 【证 
书 已 安装 ] 提 示 页 面 。 此 时 整个 “EFS 故障 恢复 代理 证 书 ” 的 申请 就 全 部 完成 了 。 


潜在 的 脚本 冲突 


am | 
图 8-63 【潜在 的 脚本 冲突 提示 框 


汪 wi crosoft 证 书 服务 - Wicrosoft Internet Eyl | 口 | X| 
文件 四 ”编辑 ”查看 W) 收 戌 和 ) 工具 CD) 帮助 0 | 二 
加 亨 -加 -四 同人 | 站 扫 雪 二 炒 荐 天 如 捉 休 如 | 人 ” 
正本 0 | 科 hp://192 168 1 53/certsrv/certrapn sp 本 [国正 罗 


证 书 已 安装 
您 的 新 证 书 已 经 成 功 安装 。 


图 8-64 【证 书 已 安装 提示 页 面 


4. 配置 故障 恢复 组 策略 


配置 故障 恢复 组 策略 即 添加 域 的 故障 恢复 代理 。 创 建 了 故障 恢复 代理 证 书后 ,要 在 域 
组 策略 中 添加 该 证 书 。 

该 操作 可 在 Active Directory 内 的 任何 站 点 、 域 或 组 织 单位 上 执行 。 以 证 书 文件 形式 添加 
故障 恢复 代理 时 ,首先 进行 证 书 文件 的 导出 ,然后 利用 该 证 书 文件 创建 EFS 故障 恢复 代理 。 


区 注意 : 域 用 户 证 书 的 导出 可 以 由 系统 管理 员 和 证 书 持 有 人 来 执行 ,都 是 在 如 图 8-65 
所 示 的 证 书 控制 台中 进行 。 如 果 是 系统 管理 员 , 则 可 以 查看 和 导出 域 用 户 所 有 的 个 人 证 书 ， 
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国 Aaninistrator 。 wang CA 2009-6-24 
国 Aaninistrater 。 wang CA 2010-6-24 ”文件 故障 恢复 
国 Aainistrater 。 Adninistrator 2011-6-24 文件 胡 障 恢复 


Es wanaCA ” 2010-6-24 ”文件 效 障 恢复 


Active Directory 用 户 对 # 


四 -加 委 信 任 的 发 行者 
由 -加 不 信任 的 证 书 
国 第 三 方 根 证 书 颁发 机 构 
日 各 受信 任 人 
一 和 证 书 
由 加 证 书 注册 申请 


图 8-65 系统 管理 员 可 在 【证 书 ] 控 制 台中 查看 和 导出 域 用 户 所 有 的 个 人 证 书 


以 Administrator 账户 登录 域 控制 器 ,具体 操作 步骤 如 下 。 
(1) 打开 如 图 8-65 所 示 的 个 人 证 书 详细 列表 ,在 新 创建 的 EFS 故障 恢复 代理 证 书 上 右 
击 , 如 图 8-66 所 示 ,选择 【导出 了 命令 ,打开 如 图 8-67 所 示 的 【欢迎 使 用 证 书 导 出 向 导 】 对 


文件 四 ”操作 (4) 查看 QW) 收藏 天 QQ) 窗口 ) 帮助 0) 


= 名 xj 


外 字 | 白 | 因 |% 星 |X 君 图 | 急 


m 控制 台 根 节点 \ 证 书 - 当前 用 户 \ 个 人 \ 证 书 

辣 控制 台 根 节点 

日 区 证 书 - 当前 用 户 
日 向 个 人 


局 席 
由 - 国 受信 和 任 的 根 证 书 颁 发 机 构 
由 -国企 业 信任 
由 - 国 中 级 证 书 颁 发 机 构 
外- 国 Acetive Directory 用 户 对 # 
由 . 国 受信 任 的 发 行者 
由 -和 不 信任 的 证 书 
由 - 国 第 三 方 根 证 书 颁发 机 构 
局 - 国 受信 任 人 
和 证 书 
由 - 国 证 书 注册 申请 


国 Adninistrator wane-CA 2009-6-24 
国 Aaninistrator 。 wang -CA 2010-6-24 文件 故障 恢复 
国 Aaninistrator 。 Adaninistrater ”2011-6-24 文件 故障 恢复 


的 
加 密 文 件 系统 


要 继续 ， 请 单 击 “ 下 一 步 "按钮 。 


El | 
【欢迎 使 用 证 书 导出 向 导 对 话 框 


村 


(2) 单 击 【 下 一 步 ] 按 钮 ,打开 如 图 8-68 所 示 的 【导出 私 钥 】 对 话 框 。 在 此 可 选择 是 否 导 
出 私 钥 。 由 于 在 组 策略 中 添加 EFS 故障 恢复 代理 时 一 定 要 用 . cer 格式 的 证 书 文件 ,所 以 必 
须 经 过 下 一 步骤 ,将 格式 选择 为 . cer 再 导出 。 在 此 只 能 选择 [不 ,不 要 导出 私 钥 有 单 选 按钮 。 


图 8-68 【导出 私 钥 ] 对 话 框 
(3) 单 击 [ 下 一 步 ] 按 钮 ,打开 如 图 8-69 所 示 的 【导出 文件 格式 ] 对 话 框 。 


(4) 在 如 图 8-70 所 示 的 对 话 框 中 选中 【Base64 编码 X. 509(CCER ) 了 单 选 按钮 , 单 击 【 下 
一 步 ] 按 钮 ,打开 如 图 8-71 所 示 的 【要 导出 的 文件 ] 对 话 框 。 在 其 中 的 【文件 名 ] 文 本 框 中 输 
入 证 书 文件 名 。 上 默认 存放 的 路 径 是 Documents and Settings 文件 夹 下 相应 用 户 账户 的 文件 
夹 下 ,也 可 通过 单 击 【浏览 按钮 更 改 证 书 文件 存放 位 置 。 

(5) 单 击 [ 下 一 步 ] 按 钮 ,打开 如 图 8-72 所 示 的 【正在 完成 证 书 导出 向 导 】 对 话 框 。 在 文 
本 框 中 显示 了 导出 的 证 书 文件 的 配置 摘要 (如 果 觉 得 某 项 配置 不 正确 ,可 以 通过 单 击 C【 上 一 
步 ] 按 钮 返回 到 相应 步骤 重新 配置 ) 。 单 击 【完成 了 按钮 开始 导出 证 书 文件 ,导出 成 功 后 系统 
会 弹出 一 个 【导出 成 功 ] 提 示 框 。 

到 
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导出 文件 格式 
可 以 用 不 同 的 文件 格式 导出 证 书 。 


厂 如 果 可 能 ， 包 括 证 书 路 径 中 所 有 证 书 
所 局 用 加 强 保护 (要求 I 5.0， 现 4.0 SP4 或 更 高 版 本 ) 到 ) 
厂 如 果 导 出 成 功 , 删除 密 角 外) 


《上 一 步 @) 取消 


图 8-70 【导出 文件 格式 ] 对 话 框 


要 导出 的 文件 
指定 要 导出 的 文件 名 。 


文件 名 全 ); 
FE \ 个 人 资料 \ 导 出 的 EFS\Sanny-EPS. cer 


图 8-71 【要 导出 的 文件 ] 对 话 框 


正在 完成 证 书 导 出 向 导 


您 已 成 功 地 完成 证 书 导出 向 导 。 


您 已 指定 下 列 设置 

F:\ 个 人 资料 \ 导 出 的 2 
包括 证 书 路 径 中 所 有 证 书 
文件 格式 


Base64 编码 X.509 4 


图 8-72 【正在 完成 证 书 导出 向 导 】 对 话 框 
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证 书 导 出 后 , 接 下 来 就 要 利用 这 个 证 书 文件 创建 EFS 故障 恢复 代理 了 。 
(6) 选择 【开始 了 管理 工具 【Active Directory 用 户 和 计算 机 命令 ,打开 【 Active 
Directory 用 户 和 计算 机 】 对 话 框 ,如 图 8-73 所 示 。 


builtinDomain 


容 ; Default containe 
国 Domain Controllers 。 钥 织 单位 Default containe. 
ForeignSecurityPri 容器 Default containe.. 
vsers 容器 Default containe. 


图 8-73 【Active Directory 用 户 和 计算 机 3】 对话 框 
(7) 在 要 更 改 恢复 策略 的 域 上 布 击 , 在 弹出 的 快捷 菜单 中 选择 【属性 命令 ,在 打开 的 
【 域 属性 对 话 框 中 选择 [组 策略 ] 选 项 卡 ,如 图 8-74 所 示 。 


常规 | 管理 者 | 对 象 | 安全 。 姐 第 咯 | 
lzzyee 的 当前 组 策略 对 象 链接 


列表 中 较 高 位 置 的 组 策略 对 象 具有 景 高 的 忧 先 权 。 
由 Sunny 获得 这 一 列表 


ew | mm | maw | mrtw | 
选项 @) | 天 除 中 .| 属性 到 ) mrm | 


厂 阻止 策略 继承 到 ) 


图 8-74 【 域 属 性 了 对 话 框 的 [组 策略 选项 卡 


(8) 如 果 原 先 在 组 策略 中 添加 了 新 的 组 策略 (系统 默认 有 一 个 组 策略 选项 ) , 则 可 在 列 
表 中 选择 要 更 改 的 组 策略 选项 (在 此 以 系统 默认 的 组 策略 选项 为 例 ) ,然后 单 击 【编辑 了 按钮 。 

(9) 在 打开 的 【组 策略 编辑 器 ] 中 选择 【计算 机 配置 MEWindows 设置 MM【 安 全 设置 MA【 公 
钥 策 略 ] 命 令 , 如 图 8-75 所 示 。 

(10) 在 右 侧 详细 信息 列表 窗 格 的 【加 密 文件 系统 选项 上 右 击 ,如 图 8-76 所 示 , 选 择 
【添加 数据 恢复 代理 程序 了 命令 ,打开 如 图 8-77 所 示 的 【欢迎 使 用 添加 故障 恢复 代理 向 导 】 对 
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钥 策略 编辑 器 =9lxl 
文件 人 ”操作 避 查看 WD 玫 助 了 9 
全 少 | 甸 | 加 | | 旬 
| Default Donain Policy [Sunny] 年 于 
昌国 计算 机 配置 

由 - 辕 软件 设置 

日 图 Windows 设置 


对 得 类 型 
国 加 客 文 件 系统 
加 自动 证 书 申请 设置 
国 受 信任 的 根 证 书 顽 发 机 构 
图 企业 信任 
园 自动 注册 设置 


日 - 参 安全 设置 


| 


图 8-75 ”选择 [组 策略 编辑 器 ] 中 的 [ 公 钥 策略 ] 命 令 


"i 钥 策略 篇 各 器 =|Dlx| 
文件 中 拘 作 避 查看 W。 帮助 0 
守 消 | 甸 | 四 | 曰 | 加 加 驹 |@ 


lt Domain Policy [Sunny] iE 


由 中 二 et EEE B02.1 
= 2 和 咯 

由 - 回 软件 限制 策略 

由 电 IF 安全 策略 ， 在 Act 
辐 管理 模板 


图 8-76 ”选择 [添加 数据 恢复 代理 程序 ] 命 令 


欢迎 使 用 添加 故障 恢复 代理 向 导 


让 将 革 和 人 和 
和 | 和 


你 可 以 在 组 策略 编辑 器 中 指定 故障 恢复 代理 的 作用 域 
( 炬 或 部 门 )。 


要 继续 ,请 单 击 “ 下 一 步 ”按钮 。 


图 8-77 【欢迎 使 用 添加 故障 恢复 代理 向 导 】 对 话 框 
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医 注 意 ; 如 果 需 要 创建 用 户 证 书 以 用 做 “加 窗 文 件 系 统 (EFS)” 故 障 恢复 代理 证 书 ， 
则 在 弹出 的 快捷 菜单 中 选择 【创建 数据 恢复 代理 程序 命令 。 

如 果 要 使 用 现 有 的 证 书 , 则 在 弹出 的 快捷 菜单 中 选择 【添加 数据 恢复 代理 程序 命令 ， 
并 按照 向 导 所 提供 的 说 明 来 完成 此 过 程 。 

如 果 要 删除 此 EFS 策略 和 每 一 个 恢复 代理 ,在 弹出 的 快捷 菜单 中 选择 【删除 策略 】 命 
令 。 如 果 选 择 该 命令 ,用 户 仍然 可 以 加 密 计 算 机 上 的 文件 (除非 计算 机 上 有 EFS 策略 , 否 
则 不 显示 该 命令 ) 。 


(11) 单 击 【 下 一 步 ] 按 钮 ,打开 如 图 8-78 所 示 的 【选择 故障 恢复 代理 3 对 话 框 。 在 这 里 
要 选择 用 于 故障 恢复 代理 的 用 户 账户 ,只 有 创建 了 EFS 故障 恢复 代理 证 书 的 用 户 才 可 以 被 
指派 。 

(12) 单 击 [浏览 文件 夹 3 按 钮 ,在 打开 的 打开] 对话 框 中 找到 前 面 用 来 存放 EFS 故障 
代理 证 书 文件 的 路 径 ,并 选择 相应 的 证 书 文件 ,只 能 是 . cer 格式 的 ,如 图 8-79 所 示 。 选 择 好 
后 单 击 【打开 按钮 ,返回 到 如 图 8-78 所 示 的 对 话 框 , 不 过 此 时 已 添加 了 故障 恢复 代理 ,以 
USER_UNKNOWN 显示 ,如 图 8-80 所 示 。 


2 


ostmrs 可 ODUSC 


选择 故障 恢复 代理 pe 
内 有 带 有 的 随 恢 备 代理 证书 的 用 户 可 以 补 模 浙 为 故 由 恢 备 代 再 。 1 J 


et 


文件 。 
元 隙 恢复 代理 @) 


a 


下 - 步 品 让。 取消 


图 8-78 【选择 故障 恢复 代理 ] 对 话 框 


添加 故障 恢复 代 理 向 导 


选择 故障 恢复 代理 
只 有 带 有 故障 恢复 代理 证 书 的 用 户 可 以 被 指 派 为 故障 恢复 代理 。 


图 8-80 【选择 故障 恢复 代理 ] 对 话 框 


(13) 单 击 [下 一 步 ] 按 钮 ,打开 如 图 8-81 所 示 的 【正在 完成 添加 故障 恢复 代理 向 导 】 对 
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话 框 。 单 击 【完成 3 按钮 完成 一 个 EFS 恢复 代理 的 指派 。 此 时 在 【组 策略 编辑 器 了 恢复 中 的 
【加 密 文件 系统 选项 右边 的 窗口 中 ,可 以 看 到 新 指派 的 EFS 故障 恢复 代理 ,如 图 8-82 
所 示 。 


正在 完成 添加 故障 恢复 代理 向 导 


您 已 顺利 完成 添加 故障 恢复 代理 向 导 。 
下 列 用 户 被 指派 为 故障 饮 复 代理 


户 
VSER_UNENOWN Sanny 


要 关闭 此 向 导 ， 请 单 击 “ 完 成 "按钮 。 


《上 一 步 @) 取消 | 


图 8-81 【正在 完成 添加 故障 恢复 代理 向 导 ]3 对 话 框 


"i 组 策略 编辑 器 朵 [eld| 
文件 @) 操作 人 A) 查看 WW 和 助 0 

守 销 | 和 语 | 四 | 关 昌 |X 略 加 | 多 
[给 ， | 堪 必 


预期 目的 


十 发 截止 日 期 图 
国 Aaninistrator wane-CA 2010-6-24 文件 故障 恢复 
文件 故障 恢复 
文件 故障 恢复 


国 Adaninistrater Adninistrator 201 


四 受信 企 的 根 
上 外 企业 信任 局 
We) | 
| 加 密 文 件 系统 存储 合 有 3 个 证 书 。 | | 
图 8-82 【组 策略 编辑 器 3 中 的 【加 密 文件 系统 窗口 


通过 以 上 四 大 步骤 ,完成 了 域 的 故障 恢复 代理 的 创建 。 如 果 我 们 想 在 没有 证 书 颁 发 机 
构 的 情况 下 ,创建 独立 计算 机 上 的 故障 恢复 代理 , 则 进行 如 下 操作 。 


5. 创建 默认 的 独立 计算 机 上 的 故障 恢复 代理 


在 独立 计算 机 上 默认 没有 故障 恢复 代理 (在 证 书 颁 发 机 构 不 存在 的 情况 下 ) ,需要 手动 
创建 。 以 本 地 计算 机 的 Administator 身份 登录 到 本 地 计算 机 上 。 

具体 操作 步骤 如 下 : 

(1) 在 【运行 ] 对 话 框 中 输入 cmd 命令 ,进入 命令 提示 符 下 ,在 命令 提示 符 窗口 中 输入 
cipher. exe /r:dra 命令 ,然后 按 Enter 键 。 
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(2) 在 出 现 提示 时 ,输入 密码 来 保护 . PFX 文件 .然后 再 次 输入 密码 确认 。 按 Enter 键 
后 即 创建 成 功 ,如 图 8-83 所 示 。 

(3) 关闭 [命令 提示 符 ] 窗 口 。 

(4) 在 控制 台中 打开 【证 书 服务 了 控制 
人 台 。 查 看 一 下 系统 管理 员 账 户 是 否 已 有 数 
据 恢 复 证 书 , 如 果 没 有 , 则 可 在 本 地 组 策略 
编辑 器 窗口 【 公 钥 策略 了 的 【加 密 文 件 系统 】 
选项 上 右 击 ,在 弹出 的 快捷 菜单 中 选择 【 添 
加 数据 恢复 代理 程序 ] 命 令 ( 见 图 8-76) , 即 
可 创建 一 个 Administrator 账户 用 于 恢复 数 图 8-83 创建 独立 计算 机 默认 恢复 代理 过 程 
据 的 证 书 。 

(5) 在 所 创建 的 数据 恢复 证 书 上 右 击 , 在 弹出 的 快捷 菜单 中 选择 【导出 了 命令 ( 见 图 8-66)， 
把 刚才 所 创建 的 证 书 导出 在 一 个 位 置 保存 。 注 意 一 定 以 X. 509 文件 格式 导出 ,和 否则 该 证 书 不 
能 用 于 数据 恢复 。 

(6) 再 在 组 策略 中 的 【5 加密 文 件 系 统 】 选 项 上 右 击 , 在 弹出 的 快捷 菜单 中 选择 【添加 数据 
恢复 代理 程序 了 命令 ,打开 如 图 8-77 所 示 的 【欢迎 使 用 添加 故障 恢复 代理 向 导 】 对 话 框 。 随 
后 的 步骤 就 与 前 面 介绍 的 向 域 中 添加 EFS 故障 恢复 代理 的 方法 一 样 , 不 再 袭 述 


8.5 密 钥 的 存档 与 恢复 
8.5.1 密 钥 的 存档 与 恢复 概述 


密 钥 对 于 PKI 来 说 是 非常 重要 的 ,特别 是 其 中 的 私 钥 , 一 旦 遗失 或 泄露 ,数据 的 安全 性 
将 受到 严重 的 威胁 。 而 这 类 密 钥 的 代码 很 长 , 几 十 位 甚至 几 百 位 ,一 般 人 是 无 法 记 住 的 , 因 
此 ,必须 考虑 密 钥 的 安全 性 问题 。 解 决 方法 是 在 系统 中 配置 “ 密 钥 的 存档 和 恢复 ”功能 。 


1. 密 钥 存档 


为 了 降低 私 钥 遭 受 攻击 的 机 会 ,在 默认 情况 下 ,证书 的 私 钥 不 存档 。 如 果 要 将 密 钥 存 档 ， 
需要 进行 配置 。 密 钥 存档 后 , 受 领 人 向 CA 提供 其 私 钥 ,CA 将 该 私 钥 存储 在 它 的 数据 库 中 。 


2. 密 钥 恢复 


当 密 钥 受 领 人 意外 丢失 其 私 钥 ,或 者 管理 员 和 希望 恢复 特定 受 领 人 的 密 钥 以 便 访 问 该 密 
钥 保 护 的 数据 时 ,可 以 使 用 密 钥 恢复 得 到 存档 的 私 钥 。 

密 钥 恢复 过 程 需要 管理 员 检 索 加 密 的 证 书 和 私 钥 ,然后 要 求 密 钥 恢复 代理 (KRA) 将 它 
们 提交 给 CA ,通过 提交 正确 签名 的 密 钥 恢复 申请 ,申请 者 将 获得 受 领 人 的 证 书 和 私 钥 。 申 
请 者 在 必要 时 可 以 使 用 该 密 钥 ,或 将 其 传送 给 受 领 人 继续 使 用 。 


车 注意 : 只 有 在 运行 企业 CA 的 Windows Server 2003 Enterprise Edition 和 
Windows Server 2003 Datacenter Edition 上 , 密 钥 存档 和 密 钥 恢 复 功 能 才 可 用 。 
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8.5.2 密 钥 的 存档 和 恢复 步骤 


使 用 Microsoft 证 书 颁发 机 构 进行 密 钥 的 存档 和 恢复 需要 执行 如 图 8-84 所 示 步 又 。 


图 8-84 ” 密 钥 的 存档 和 恢复 步骤 


上 述 步 骤 (1) 一 (5) 完 成 密 钥 的 存档 配置 。 当 私 钥 丢失 ,通过 步骤 (6) 和 步骤 (7) 进 行 密 
钥 的 恢复 。 


1. 创建 密 钥 恢复 代理 账户 


配置 并 添加 密 钥 恢复 代理 证 书 模板 ,使 之 成 为 可 以 由 企业 CA 颁发 的 模板 。 

具体 操作 步骤 如 下 : 

(1) 以 Administrator 账户 登录 域 控制 器 (建议 采用 Windows Server 2003 R2 
EnterPrise Edition) ,在 【运行 ] 对 话 框 中 输入 certtmpl. msc 命令 ,打开 如 图 8-32 所 示 的 【证 
书 模板 3 控制 台 窗 口 。 

(2) 双击 【 密 钥 恢 复 代 理 〗 选 项 ,在 打开 的 [属性 对话 框 中 选择 [安全 】 选 项 卡 , 如 图 8-85 
所 示 。 在 默认 情况 下 ,可 以 注册 密 钥 恢复 代理 证 书 模板 的 安全 组 是 Domain Administrators 
和 Enterprise Administrators 组 成 员 。 如 果 需 要 添加 另 一 个 恢复 代理 , 则 单 击 【添加 按钮 
以 添加 用 户 ,并 授予 该 用 户 “ 读 取 ” 和 “注册 ”权限 。 

(3) 在 如 图 8-85 所 示 的 对 话 框 中 选择 【颁发 要 求 选 项 卡 , 如 图 8-86 所 示 。 取 消 选 中 
【CA 证 书 管理 程序 批准 】 复 选 框 ,然后 单 击 【 确 定 ] 按 钮 ,关闭 【证 书 模板 窗口 。 


密 钥 恢复 代理 尾 性 


图 8-85 【 密 钥 恢复 代理 属性 ] 对 话 框 的 [安全 】 选 项 卡 图 8-86 【颁发 要 求 3 选 项 卡 


人 
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(4) 选择 [开始 VI 管理 工具 YA【 证 书 颁发 机 构 ] 命 令 , 打 开 如 图 8-87 所 示 【 证 书 颁发 机 
构 ] 控 制 台 窗口 。 


文件 如 操作 WD 查看 天助 
+ 请 | 四 | 加 | 多] 》 面 


图 8-87 【证 书 颁发 机 构 ] 控 制 台 窗口 


(5) 在 左 侧 窗 口 的 目录 树 中 , 右 击 【 证 书 模板 选项 ,在 弹出 的 快捷 菜单 中 选择 【新 建 ]/ 
【要 颁发 的 证 书 模板 了 命令 ,打开 如 图 8-88 所 示 的 【启用 证 书 模板 ] 对 话 框 。 选 择 【 密 钥 恢 复 
代理 〗 选 项 , 单 击 【确定 按钮 即 可 。 


辆 | 启用 证 书 重 板 


扬 有 > 

代码 签名 

Microsoft 信任 列表 签名 
安全 电子 邮件 

安全 电子 邮件 ， 客 户 端 验证 
| 


客户 端 验 
安全 电子 邮件 ， 客 户 端 验证 ， 智 能 卡 登录 


客户 端 验 证 ， 智 能 卡 登 录 
证 书 申 请 代理 
辆 注册 代理 计算 机 ) 证 书 申 请 代理 


图 8-88 【启用 证 书 模板 ] 对 话 框 


2. 获取 密 钥 恢 复 代 理 证 书 


此 步骤 将 获取 用 于 恢复 私 钥 的 密 钥 恢 复 代理 证 书 。 以 Sanny 账户 登录 域 控制 器 ,具体 操 
作 步 又 类 似 申请 “EFS 故障 恢复 代理 ?证 书 ( 在 此 不 再 详 述 ) 。 这 里 以 网 页 的 形式 进行 申请 ,如 
图 8-89 所 示 。 申 请 成 功 后 可 以 从 控制 台 的 [证 书 窗 口中 看 到 安装 成 功 列表 ,如 图 8-90 所 示 。 


3. 配置 CA 以 便 进行 密 钥 恢复 


因为 密 钥 是 与 对 应 的 证 书 颁发 机 构 和 证 书 模板 息息相关 的 ,所 以 要 使 私 钥 可 存档 和 可 
进行 密 钥 恢 复 , 就 需要 在 相应 的 证 书 颁发 机 构 和 证 书 模板 上 启用 这 一 属性 , 即 配置 企业 CA 
以 使 用 上 一 个 步骤 获取 的 密 钥 恢复 代理 证 书 。 

具体 配置 步骤 如 下 : 

(1) 首先 要 在 证 书 颁发 机 构 上 启用 密 钥 存 档 和 恢复 属性 。 选 择 【 开 始 M【 管 理工 具 】/ 
【证 书 颁发 机 构 ] 命 令 , 打 开 如 图 8-87 所 示 [ 证 书 颁发 机 构 ] 控 制 台 窗口 。 
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潮 Wicrosoft 证 书 服务 - microesoeft Internet Erplorer 

文件 加” 编 加 加 ”可 看 如 收 意 @)， 工具 四 帮助 中 攻 了 
回忆 - 旧 "四 辐 信 | 让 村 袜 % 本 天 轩 提 人 如 | 人 D- 学 是 - 口 隔 志 

地 址 而 | 败 http /Ne2 165 1 53/certsrweertrmaae 到 四 和 |W” 


到 ?icrosoft 证 书 服务 


高 级 证 书 申请 
证 书 模板 : 


密 骨 恢复 代理 到 


密 钥 选项 : 
本 人 使 用 现存 的 密 钥 集 


: | 用 户 yptographic Provider v1.0 加 
从 属 证 书 颁发 机 构 
Web 服务 器 


[2048 最 大 位 15534 【一 委 珊 钢 大 小 : 2048 4036 8192 16384 ) 
他 自动 客 角 容器 名 称 个 用户 指定 的 窗 钥 容器 名 称 
克 标 记 窗 外 为 可 导出 

三 导出 窗 钥 到 文件 
三 启用 强 私 钥 保 护 


图 8-89 【高 级 证 书 申请 ] 页 面 


文件 EF) 操作 () 查看 WW) 收藏 赤 @) 窗口 帮助 四 
中 小 | 生 | 四 |% 辐 |X 加 | 包 
"加 控制 台 根 节点 \ 证 书 - 当前 用 户 \ 个 人 证书 
| 日 控制 台 根 节点 堪 发 给 颁发 
日 六 证 书 - 当前 用 户 国 Aanini strator 

日 - 园 个 人 国 Aaninistrator 


富 证 蔬 国 Aanini strator Adnini 
由 自 RH fm wang-CA 


由 各 
向- 国 中 绒 证 书 太 发 机 构 一 ct 


wane-CA 


由 - 国 Active Directory 用 户 对 # 
由- 回 受信 任 的 发 行者 一 二 
外 -四 不 信任 的 证 书 一- 
由 四 第 三 方 根 证 书 全 发 机 构 

由 四 受信 任 人 


由 - 国 其 他 人 
由 - 国 证 书 注册 申请 


图 8-90 ”从 控制 台 的 [证 书 ] 窗 口中 看 到 安装 成 功 列表 


(2) 在 左边 窗 格 中 选择 下 面 的 证 书 颁发 服务 器 , 右 击 并 在 弹出 的 快捷 菜单 中 选择 【 属 
性 了 命令 ,在 打开 的 【证 书 颁发 机 构 属性 了 对 话 框 中 选择 [故障 恢复 代理 3 选项 卡 , 如 图 8-91 
所 示 。 选 择 [存档 密 钥 了 单 选 按钮 ,在 【要 使 用 的 故障 恢复 代理 数目 ] 文 本 框 中 ,指定 恢复 存档 
的 密 钥 所 需 的 故障 恢复 代理 的 数目 ,然后 将 8. 4 节 创建 的 故障 恢复 代理 添加 到 【 密 钥 故 障 恢 
复 代 理 证 书 ] 列 表 中 。 

(3) 单 击 【确定 了 按钮 ,完成 CA 的 密 钥 存档 和 恢复 属性 。 接 下 来 配置 证 书 模板 控制 台 
中 的 证 书 模板 。 

(4) 在 [运行] 对 话 框 中 输入 certtmpl. msc 命令 ,打开 【证 书 模板 】 控 制 台 窗口 ,参见 
图 8-32。 


(5) 在 右 侧 详细 信息 列表 窗 格 中 选择 要 配置 密 钥 存档 和 恢复 属性 的 证 书 模板 (比如 选 
择 KEFS 故障 恢复 代理 -A] 证 书 模板 ) 上 右 击 , 在 弹出 的 快捷 菜单 中 选择 【[ 属 性] 命令。 在 打 
开 的 对 话 框 中 选择 [处 理 请 求 ] 选 项 卡 , 如 图 8-92 所 示 。 选 中 [把 使 用 者 的 加 密 私 钥 存档 】 复 
选 框 , 单 击 【确定 了 按钮 完成 配置 。 


ang-Ck 属性 


vy 
p 
三 邮 


图 8-91 【证 书 颁发 机 构 属 性 ] 对 话 框 中 的 。 ”图 8-92 【证 书 模板 属性 ] 对 话 框 中 的 [处 理 请 求 选 项 卡 
【故障 恢复 代理 ] 选 项 卡 


(6) 按 前 面 介 绍 的 方法 在 控制 台中 添加 【证 书 管理 单元 】 ,不 过 此 时 要 添加 的 不 是 个 人 证 
书 ,而 是 计算 机 账户 证 书 。 在 添加 [证书 管理 单元 ] 时 ,在 如 图 8-93 所 示 的 【证书 管理 单元 】 


图 8-93 【证 书 管理 单元 ] 对 话 框 


对 话 框 中 选择 [计算 机 账户 了 单 选 按钮 。 然 后 单 击 【下 一 步 ] 按 钮 ,在 打开 的 如 图 8-94 所 示 的 


【选择 计算 机 对话 框 中 选择 [本 地 计算 机 了 单 选 按钮 ,最 后 显示 的 是 计算 机 账户 [证 书 管理 单 
元 ] 控 制 台 ,如 图 8-95 所 示 。 


选择 计算 机 


EE | mE 
2010-6-25 。” 密 角 俯 复 代 


图 8-95 ”计算 机 账户 [证 书 管理 单元 ] 控 制 台 


(7) 验证 密 钥 恢复 代理 证 书 是 否 已 经 安装 。 在 控制 台 树 中 ,选择 [控制 台 根 节点 【证 
书 (本 地 计算 机 ?7J/KRA 人 证 书 了 命令 , 即 可 见 到 所 创建 的 密 钥 恢 复 代理 证 书 。 证 书 的 计划 
用 途 是 密 钥 恢复 代理 ,并 且 证 书 被 颁发 给 管理 员 。 

(8) 最 后 ,可 将 控制 台 另 存 为 “控制 台 2”。 


4. 创建 新 的 可 以 进行 密 钥 存档 的 证 书 模板 


该 步骤 可 以 在 客户 端 计算 机 上 的 私 钥 丢 失 或 损坏 的 情况 下 在 域 中 进行 密 钥 恢复 。 
具体 操作 步骤 如 下 : 


(1) 以 Administrator 账户 登录 域 控制 器 ,按照 上 一 个 实验 介绍 的 方法 打开 【证 书 模 板 】 
控制 台 窗 口 ,参见 图 8-32。 


(2) 在 【运行 ] 对 话 框 中 输入 mmc, 打 开 一 个 空 的 [控制 台 ] 窗 口 ,参见 图 8-40。 
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(3) 选择 [文件 VI 添加 /删除 管理 单元 3 命令 ,打开 如 图 8-41 所 示 的 对 话 框 。 

(4) 单 起 [添加 了 按钮 ,打开 如 图 8-42 所 示 的 对 话 框 。 在 其 中 双击 选择 【证书 模板 】 选 项 , 然 
后 单 击 [ 关 闭 ] 按 钮 返回 到 如 图 8-41 所 示 的 对 话 框 。 再 单 击 【确定 了 按钮 返回 到 如 图 8-40 所 示 
【控制 台 了 和 窗口 ,此 时 已 添加 区 证 书 模板 了 管理 单元 ,如 图 8-96 所 示 ( 可 另存 为 “控制 台 3”)。 


文件 四 操作 只) 收藏 天 0) 窗口 @) 天 助 中 
所 字 | 名 | 四 | 国 图 | 钨 


Windows Serve 
Windows 2000 

Windows 2000 
Windows Serve. 

户 Windows 2000 

Exchangs 注册 代理 脱 机 申请 ) Winaows 2000 
Windows 2000 

Windows 2000 

Windows Serve. 

Windows 2000 

Windows 2000 

Windows 2000 

Windows 2000 

Windows Serve. 

Windows 2000 

Windows 2000 


图 8-96 【证 书 模板 管理 单元 


接着 要 创建 用 户 证 书 模板 的 副本 。 

(5) 选择 控制 台 树 中 的 [证 书 模板 】 选 项 ,在 右 侧 详细 信息 列表 窗 格 中 的 【用户 ] 模 板 上 
右 击 ,在 弹出 的 快捷 菜单 中 选择 【复制 模板 命令 ,打开 如 图 8-97 所 示 的 【新 模板 的 属性 】 对 
话 框 的 [常规 〗 选 项 卡 。 在 其 中 的 [模板 显示 名 称 ] 中 输入 “存档 用 户 ”。 

(6) 切换 到 如 图 8-98 所 示 的 【处 理 请 求 3 选 项 卡 ,选中 【把 使 用 者 的 加 密 私 钥 存 档 】 复 选 
框 。 该 选项 可 以 让 密 钥 恢复 代理 从 证 书 存储 区 中 恢复 私 钥 。 


职 1 扩展 3 
利 规 处 理 请 求 。 | 。 使 用 者 名 称 | 。 颁发 要 求 
模板 显示 名 称 时) ; 
最低 支 持 的 CA; Windows Server 2003, Enterprise Edition 


次 动 应 用 到 这 个 选项 卡 之 后 ， 修 就 无 法 再 更 改 模 板 各 。 dd 
RU 。 二 ] 

模板 各 名 ); 友 允许 出 和 钥 Q@) 

FF 


兰考 已经 注 册 ， 并且 使 用 了 与 证 世相 的 负 ， 执 行 以 天 
有 WD: 续 林 期 @): 注册 证 书 使 用 者 时 无 需 用 户 输入 @) 
| | 四 RE 个 注 有 时 提示 用 户 四 ) 
个 在 私 角 六 使 用 的 情况 下 ,注册 时 提示 用 户 并 要 求 用 户 输 入 &) 


你 在 Active Directory 中 类 发 证 书 企 ) 
三 各 人 ”Peetey 中 有 一 个 全 汪汪 不要 和 二 新 cs 


图 8-97 【新 模板 的 属性 ] 对 话 框 的 [常规 ] 选 项 卡 。 图 8-98 【新 模板 的 属性 ] 对 话 框 的 [处 理 要 求 〗 选 项 卡 
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为 
(7) 切换 到 【安全 选项 卡 。 在 其 中 确保 Domain Admins 和 Domain Users 组 成 员 可 以 
注册 此 证 书 。 这 些 权限 是 从 [用 户 了 证 书 模板 中 复制 的 。 
(8) 单 击 [确定 了 按钮 ,可 保存 "控制 台 3”。 


5. 获取 具有 存档 密 钥 的 用 户 证 书 


即 配置 企业 CA 以 颁发 “存档 用 户 ? 证 书 。 

具体 操作 步骤 如 下 : 

(1) 以 Administrator 账户 登录 域 控制 器 。 配 置 企 业 CA 以 颁发 新 的 “存档 用 户 ” 证 书 
模板 。 打 开 【 证 书 颁发 机 构 了 控制 台 窗口 ,如 图 8-87 所 示 。 

(2) 在 控制 台 树 中 的 【证 书 模板 选项 上 右 击 ,在 弹出 的 快捷 菜单 中 选择 【新 建 ] 命 令 , 打 
开 如 图 8-99 所 示 的 【启用 证 书 模 板 】 对 话 框 。 在 其 中 选择 要 颁发 的 证 书 模板 一 存档 用 户 。 


辆 | 启用 证 书 模 板 


殉 代 码 签名 码 签名 
国信 任 列表 签名 Mierosoft 信任 列表 签名 
园 只 是 Exchange 签名 安全 电子 邮件 
只 是 用 户 签名 安全 电子 邮件 ， 客 户 端 验证 
用 户 J 全 电池 部 年， 加 寥 文 件 系 统 


ne: 

客户 端 验 证 

安全 电子 邮件 ， 客 户 端 验证 ， 督 能 卡 登录 
登录 


国法 骨 代 理 (计算 机 ) 
[ 贺 经 过 验证 的 会 话 


图 8-99 【启用 证 书 模板 ] 对 话 杠 


(3) 单 击 【 确 定 ] 按 钮 【存档 用 户 】 证 书 模板 即 出 现在 [证书 颁发 机 构 ] 的 右 侧 详细 信息 
列表 窗 格 中 ,如 图 8-100 所 示 。 
逢 证 书坊 发 机 构 =Iolx| 


文件 加 ”名作 册 查看 玫 助 吕 
个 消 | 和 | 四 |* 铭 驱 | 氏 


密 钥 恢复 代理 

目录 服务 电子 邮件 复制 

客户 端 验证 ， 服 务 器 验证 ， 智 能 卡 登录 
文件 故障 恢复 

加 密 文 件 系统 

客户 端 验证 ， 服 务 器 验证 

服务 器 验证 

客户 端 验证 ， 服 务 器 验证 

加 密 文件 系统 ， 安 全 电子 邮件 ， 客 户 端 验 证 


所 有 
系统 管理 员 有 cerosoft 信任 列表 签名 ， 加 密 文件 系统 ， 安 全 电子 


| 


图 8-100 “存档 用 户 ” 证 书 模板 


(4) 在 【Active Directory 用 户 和 计算 机 管理 单元 中 将 原 有 用 户 Anne 配置 为 隶属 于 
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Server Operators( 服 务 器 操作 员 组 )。 并 配置 用 户 的 电子 邮件 ,如 图 8-101 所 示 。 


医 注 意 : 一 定 要 配置 好 用 户 的 电子 邮件 ,否则 在 下 面 的 存档 用 户 证 书 无 法 申请 成 
功 。 另 外 ,把 用 户 添加 到 Server Operators 组 的 目的 是 为 了 便于 从 本 机 登录 到 域 控制 器 ， 
因为 Server Operators 组 用 户 上 默认 具 有 登录 到 域 控制 器 的 权限 。 


(5) 以 Anne 账户 登录 域 控 制 器 ,然后 用 前 面 介绍 的 方法 ,利用 MMC 控制 台 , 以 其 账户 
添加 个 人 证 书 管理 单元 。 并 申请 一 个 以 “存档 用 户 ” 为 模板 的 用 户 证 书 。 在 申请 证 书 过 程 
中 ,证 书 模板 类 型 要 选择 前 面 新 创建 的 并 在 CA 中 发 布 的 “存档 用 户 ” 证 书 模板 ,如 图 8-102 
所 示 。 证 书 名 称 取 为 存档 用 户 ”, 如 图 8-103 所 示 。 

(6)“ 存 档 用 户 ” 证 书 申 请 的 配置 摘要 如 图 8-104 所 示 。 单 击 【 完 成 按钮 , 即 可 完成 
Anne 用 户 的 存档 用 户 证 书 申请 。 此 时 在 个 人 证 书 控制 台 的 [个 人 VA【 证 书 〗 选 项 的 详细 信 
息 列表 窗 格 中 可 以 看 到 新 申请 的 “存档 用 户 ? 证 书 , 如 图 8-105 所 示 。 


多 Anne 证 书 类 型 
证 书 关 型 包 合 为 证 书 预 先 设置 的 展 性 值 。 
姓 Q): sn. 你 只 能 访问 来 自 受 信任 的 CA 并 且 你 有 权限 访 
名 加， 
显示 名 称 G) 
描述 由); 
力 公 室 吕 ): 


ES [DO 
Ra | 
四; mm 


wel 
图 8-101 配置 用 户 的 电子 邮件 图 8-102 ”选择 “存档 用 户 ” 的 【证书 类 型 ] 对 话 框 
证 书 申请 向 导 


本 
正在 完成 证 书 申请 向 导 


您 已 成 功 地 完成 了 证 书 申请 向 导 , 


| 
图 8-103 【证 书 的 好 记 的 名 称 和 描述 对话 杠 


一 驯 | 


图 8-104 【正在 完成 证 书 申请 向 导 】 对 话 框 
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文件 如 操作 由 查看 名” 收 训 天 中) 窗口 人 ) 帮助 四 
守 小 | 因 | 四 | 和 鹿 | 辐 民 | 久 


而 控制 台 根 节点 \ 证 书 - 当前 用 户 \ 个 人 \ 证 书 


控制 台 根 节点 
晶 萎 证书 - 当前 用 户 
日 咎 个 人 


印证 有 
由 - 国 受信 芷 的 根 证 书 颁发 机 构 
企业 信任 


图 8-105 ”在 【证书 控制 台中 显示 的 新 “存档 用 户 ” 证 书 
将 控制 台 另 存 为 “控制 台 Anne”, 关 闭 控制 台 及 所 有 窗口 ,并 从 域 控制 器 中 注销 登录 。 
6. 执行 密 钥 恢 复 


利用 上 一 步骤 创建 的 Anne 用 户 存档 证 书 进行 密 钥 恢复 。 

具体 操作 步骤 如 下 : 

(1) 以 Administrator 账户 登录 域 控 制 器 ,查看 【证 书 颁发 机 构 ] 控 制 台中 的 【存档 密 
钥 】 ,确保 私 钥 可 以 恢复 。 

选择 [开始 MV【 管 理工 具 Y【 证 书 颁发 机 构 命 令 , 打 开 [ 证 书 颁发 机 构 ] 控 制 台 窗口 ， 
参见 图 8-87。 

@ 在 控制 台 树 中 选择 【颁发 的 证 书 ] 选 项 ,选择 【查看 ] 拖 添加 /删除 列 了 命令 ,打开 如 
图 8-106 所 示 的 【添加 /删除 列 】 对 话 框 。 


图 8-106 【添加 /删除 列 ] 对 话 框 


@ 在 【添加 /删除 列 ] 对 话 框 的 [可 用 列 ] 列 表 框 中 选择 【存档 的 密 钥 】 选 项 ,然后 单 击 【 添 
加 了 按钮 ,把 [存档 的 密 钥 了 添加 到 【显示 列 ] 列 表 中 。 

@ 单 击 【确定 3 按钮 ,返回 到 [证 书 颁发 机 构 】 对 话 框 ,选中 [颁发 的 证 书 〗 选 项 ,在 详细 信 
息 窗 格 中 将 水 平 滚动 条 向 右 拖 动 .以 确认 颁发 给 Anne 的 证 书 的 【存档 的 密 钥 了 列 中 的 值 为 
“是 ”, 如 图 8-107 所 示 。 
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ET 
守 久 | 外 | 四 | 回 加 | 多 


IZZYCEVAdninistrator 
A 
LIZZYCE\Sanny 
LZ7YCE\Adninistrator 
IZZYCE\Sanny 
LIZZYCE\Sanny 
ILZZYCE\Samny 
IZZYCE\Sanny 
IZZYCEWane 
IZZYCE\Ellen 
IZZYCE\EIlen 
IZZYCE\Sanny 
LIZZYCE\Sanny 
LZZYCE\Adninistrator 


图 8-107 ”在 [证 书 颁发 机 构 3 对 话 框 中 显示 的 Anne* 存 档 用 户 ” 证 书 


@ 双击 “存档 用 户 ” 证 书 , 在 打开 的 【证书 ] 对 话 框 中 选择 【详细 信息 3 选项 卡 ,如 图 8-108 
所 示 。 记 下 证 书 的 序列 号 (不 要 包括 两 个 数字 之 间 的 空格 ) 。 


Wang CA， lzryce, com 
2006 年 6 月 27 日 12:15:04 


2009 年 6 月 27 日 12:15:04 


Anny@lzryce com, Anne, 到 


61 1d 4b 44 00 00 00 00 00 14 


乌 缉 属性 加- | 复 利文 件 @). | 


图 8-108 【证 书 ] 对 话 框 中 的 【详细 信息 3 选项 卡 


苞 注 意 : 证 书 的 序列 号 是 长 度 为 20 个 字符 的 十 六 进 制 字符 串 , 私 钥 的 序列 号 与 证 
书 的 序列 号 相同 ,该 序列 号 是 进行 密 钥 恢复 所 必需 的 。 
@ 单 击 [确定 按钮 返回 到 【证 书 颁发 机 构 了 对 话 框 , 关 闭 【 证 书 颁发 机 构 了 控制 台 。 
(2) 使 用 Certutil. exe 将 私 钥 恢 复 到 私 钥 输出 文件 。 
@ 选择 [开始 【运行 3 命令 ,输入 cmd 并 按 Enter 键 ,进入 命令 提示 符 状态 ,确保 当前 
路 径 为 C:\。 
@ 在 命令 提示 符 下 ,输入 如 下 命令 : 


C:\>Certutil- getkey[ 证 书 的 序列 号 ]AnneERP 


1 
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其 中 ,[ 证 书 的 序列 号 ] 为 上 面 记 下 的 那 20 位 序列 号 (不 带 空格 ) ,AnneERP 为 将 私 钥 恢 
复 的 私 钥 输出 文件 ,在 此 取 名 为 : AnneERP( 也 可 以 取 别 的 文件 名 ) 。 
@ 在 命令 提示 符 下 输入 如 下 命令 : 


C:\>dir AnneFERP 

即 可 列 出 AnneERP 文件 ,如 图 8-109 所 示 。 如 果 找 不 到 AnneERP 文件 ,说 明 输 入 的 
[证 书 的 序列 号 ] 可 能 不 正确 。AnneERP 文件 包含 KRA( 密 钥 人 恢复 代理 ) 证 书 、 用 户 证 书 和 
PKCS#7。 


d4b44898BB88888814 


4099999889914 
lz om, CN=Anne, CN-User 


2008 


图 8-109 ”将 私 钥 恢 复 到 文件 的 命令 过 程 


(3) 使 用 Certutil. exe 命令 恢复 原始 公 / 私 钥 对 
Qa 在 命令 提示 符 下 输入 如 下 命令 : 


C:\>Certutil- recoverkey AnneERP Anne .pfx 


其 中 ,Anne. pfx 为 公 / 私 钥 对 文件 ,在 此 取 名 为 : Anne. pfx( 也 可 以 取 别 的 文件 名 ,但 扩 
展 名 不 能 改变 ) 。 

@ 当 系 统 给 出 要 输入 密码 的 提示 时 , 则 输入 新 密码 ,并 确认 新 密码 。 

@ 输入 exit 命令 ,然后 按 Enter 键 ,关闭 所 有 窗口 并 注销 当前 用 户 。 

上 述 执行 过 程 如 图 8-110 所 示 。 


7. 导入 已 恢复 的 私 钥 


通过 导入 Anne. pfx 文件 还 原 Anne 的 证 书 存 储 区 中 已 恢复 的 私 钥 。 以 Anne 账户 登 
录 域 控制 器 。 

具体 操作 步骤 如 下 : 

(1) 以 MMC 控制 台 方 式 添加 【证 书 了 管理 单元 。 
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《8x4988B8888》 


Gx188) 


CGx100) 


a 74 96 
CERT_TRUST_HAS_NAME_MATCH_I 
CERT_TRU NED 

CERT_TRU a ED_IS! 


2a 83 4d d2 af 


图 8-110 ”执行 Certutil-recoverkey 命令 的 结果 


空 制 台 树 上 右 击 ,在 弹出 的 快捷 菜单 中 选择 
对 话 框 。 


(2) 在 【证 书 中 台 的 【证 书 ( 当 前 用 户 )】 了 
【查找 证 书 了 命令 ,打开 如 图 8-111 所 示 的 【查找 证 十 


CE 下 zx 


文件 EF 编辑 于 ) 查看 WW) 帮助 中 

查找 范围 中 i | 
包含 @) 

查找 字符 域 L) 


图 8-111 【查找 证 书 ] 对 话 框 


I 


(3) 在 【包含 ] 文 本 框 中 ,输入 证 书 颁发 机 构 名 (如 本 实验 中 的 wang-CA) , 单 击 【 立 即 查 
找 了 按钮 。 然 后 选择 如 图 8-112 所 示 Anne 的 “存储 发 现在 ”为 “个 人 "的 证 书 ,删除 该 证 书 ， 
以 模拟 重新 安装 的 计算 机 。 

(4) 关闭 【查找 证 书 ] 对 话 框 。 接 下 来 要 导入 Anne. pfx 证 书 。 

(5) 在 【证 书 ] 控 制 台 树 的 [个 人 了 项 上 右 击 ,在 弹出 的 快捷 菜单 中 选择 【所 有 任务 了 人 导 
入 命令 ,打开 如 图 8-113 所 示 的 【欢迎 使 用 证 书 导入 向 导 】 对 话 框 。 
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本 双 
文件 四 编 妓 @ 查看 W) ”天助 吕 


查找 范围 中: [所 有 证 书 存 侍 了 


包含 四 ): FE 立即 查找 加 
查找 字符 域 W): [RAR 者 避 [DOED 
新 搜索 中) 


EE 


请 发 现在 
受信 任 人 


-27 ”客户 Active Directory J| 
2009-6-25 Active Directory | 
2013-6-24 < 所 中 级 证 书 颂 发 机 构 
2013-6-20 。 《所 有 》 中 级 证 书 颁发 机 构 
2013-6-24 5 中 级 证 书 掺 发 机 构 
2013-6-24 受信 任 的 根 证 书 颁 淹 
2013-6-24 受信 任 的 根 证 书 倾 尖 


图 8-112 选择 Anne 的 “存储 发 现在 ”为 “个 人 ”的 证 书 
(6) 单 击 【下 一 步 ] 按 钮 ,打开 如 图 8-114 所 示 的 【要 导入 的 文件 ] 对 话 框 。 在 该 对 话 框 
的 [文件 名 ] 文 本 框 中 输入 /导出 的 公 / 私 钥 对 文件 C:\Anne. pfx。 


要 导入 的 文件 
指定 要 导入 的 文件 


文件 各 
Fw sg 
注意 ;用 下 列 格式 可 以 在 一 个 文件 中 存储 一 个 以 上 证 书 

个 人 信息 交 执 ~ PICS #2 (PPX .P12) 

加 密 消 息 语法 标准 - FECS 杂 证 书 ( ?78) 

吸 cresoft 系列 证 书 存 鱼 C SST) 


要 继续 ， 清 单 击 “ 下 一 步 "按钮 。 


sa 7 到 肖 | 《< 上- 步 如 | 下 -- 步 WD > 取消 
图 8-113 【欢迎 使 用 证 书 导 入 向 导 】 对 话 框 图 8-114 【要 导入 的 文件 3 对 话 框 


(7) 单 击 [下 一 步 ] 按 钮 ,打开 如 图 8-115 
所 示 的 【密码 ] 对 话 框 。 在 【密码 文本 框 中 输 
入 /导出 公 / 私 钥 正 确 时 配置 的 新 密码 。 NE 

(8) 单 击 [ 下 一 步 ] 按 钮 ,打开 如 图 8-116 人 
所 示 的 【证 书 存储 对话 框 。 在 此 对 话 框 中 选 
择 【 根 据 证 书 类 型 ,自动 选择 证 书 存储 了 单 选 
按钮 。 


豆 码 
为 了 保证 安全 ,已 用 密码 保护 条 崩 。 


ae 
厂 标志 此 密 钥 为 可 导出 的 。 这 格 允 放炮 在 身后 备份 或 传 畏 密 钥 四 


(9) 单 击 [下 一 步 ] 按 钮 ,打开 如 图 8-117 ds 人 | 
所 示 [ 正 在 完成 证 书 导 入 向 导 】 对 话 框 。 单 击 图 8-115 【密码 ] 对 话 框 


‘jf 
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【完成 3 按钮 ,最 后 提示 导入 成 功 。 此 时 Anne 用 户 的 两 个 证 书 都 已 被 导入 。Anne 的 “存档 
用 户 ” 证 书 位 于 “个 人 ”证 书 存储 区 ,而 证 书 颁发 机 构 证 书 位 于 “受信 任 的 根 证 书 颁发 机 构 ” 存 


证 书 导入 向 导 区 | | 
证 书 在 结 
证 所存 全 是 保 疮 下 的 过 区域。 正在 完成 证 书 导入 向导 
Yindows 可 以 自动 择 证 书 存 请， 或 者 您 可 以 为 证 书 指 定 一 个 位 置 i 
六 下 自 二 您 已 指 定 T 列 设 轩 
析 所 有 的 证 世族 和 下 列 让 储 ) 机 可 
证 蔬 存 储 文件 名 C:\hnne pfx 
FA a 
| Lt-sw| Bw |] mw | 
图 8-116 【证 书 存 储 ] 对 话 框 图 8-117 【正在 完成 证 书 导 和 向导】 对 话 框 


我 们 还 可 以 验证 导入 的 证 书 的 序列 号 ,选择 【证书 ] 控 制 台 树 的 [个 人 【证 书 ] 命 令 , 双 击 证 
书 , 在 打开 的 对 话 框 中 选择 [详细 信息 3 选项 卡 , 即 可 验证 序列 号 是 否 与 原来 的 序列 号 相 匹 配 。 

(10) 关闭 所 有 打开 的 窗口 ,并 注销 用 户 账户 。 至 此 ,已 完成 整个 密 钥 恢 复 代理 的 创建 
和 在 密 钥 丢 失 后 恢复 密 钥 的 全 过 程 。 


8.6 邮件 的 加 密 和 数字 签名 


8.6.1 邮件 安全 技术 


由 于 越 来 越 多 的 人 通过 电子 邮件 发 送 机 密 信 息 , 因 此 确保 电子 邮件 安全 变 得 日 趋 重 要 。 
数字 证 书 最 常见 的 应 用 就 是 发 送 安全 邮件 , 即 利用 安全 邮件 证 书 对 电子 邮件 签名 和 加 密 , 既 
保证 了 发 送 的 邮件 不 是 伪造 的 ,又 保证 了 第 三 者 无 法 阅读 加 密 邮 件 的 内 容 。 

邮件 加 密 技 术 采 用 多 种 加 密 方法 ,可 以 通过 RSA 公 钥 体系 为 例 简 述 其 原理 。RSA 加 
密 基于 一 个 无 法 对 大 素数 进行 分 解 质 因 子 的 数学 假设 ,使 用 两 个 大 素数 的 函数 ,一 个 作为 公 
共 密 钥 ; 另 一 个 作为 私人 密 钥 ,由 于 这 两 个 密 钥 是 互补 的 ,公共 密 钥 加 密 的 密 文 可 以 用 私人 
密 钥 解密 ;反之 亦 然 。 因 此 ,邮件 发 送 者 只 需要 使 用 收 件 人 的 公共 密 钥 加 密 邮 件 , 加 密 后 的 
邮件 只 有 拥有 私人 密 钥 的 收 件 人 才能 解密 阅读 ,从 而 确保 了 邮件 的 安全 。 

当 用 户 使 用 自己 的 电子 证 书 在 发 出 的 邮件 上 签名 时 ,邮件 将 被 按照 邮件 的 内 容 通过 摘 
要 函数 运算 取得 一 个 可 以 用 以 检验 邮件 完整 性 的 值 .并 将 该 值 使 用 电子 证 书 中 的 私人 密 钥 
加 密 , 然 后 与 公共 密 钥 和 邮件 内 容 一 起 发 送出 去 。 由 于 私人 密 钥 加 密 的 内 容 只 有 对 应 的 公 
共 密 钥 可 以 解密 ,并 且 摘 要 函数 可 以 在 任意 大 小 的 数据 中 采集 一 个 固定 长 度 的 摘要 , 供 采 集 
的 数据 源 即使 有 一 位 数据 改变 取得 的 结果 也 不 同 ,邮件 的 内 容 有 任何 改变 都 无 法 与 原来 检 
验 邮件 完整 性 的 值 相 匹配 , 当 收 件 人 收 到 邮件 时 , 即 可 知道 邮件 的 内 容 是 否 被 自 改 ,同时 也 
知道 该 邮件 发 送 者 使 用 的 是 哪 一 个 电子 证 书 。 由 于 第 三 方 的 权威 证 书 颁发 机 构 CA 在 发 出 
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电子 证 书 时 ,将 验证 申请 者 是 否 拥 有 所 申请 电子 邮箱 的 使 用 权 , 收 件 人 也 就 能 够 通过 证 书 发 
行 机 构 验 证 发 件 人 所 使 用 的 电子 证 书 ,确认 所 收 到 的 邮件 的 确 来 自 拥 有 这 个 邮箱 地 址 的 用 
户 ,从 而 实现 对 发 件 人 的 真实 性 与 邮件 内 容 是 否 完整 的 鉴别 。 

邮件 安全 技术 非常 复杂 ,但 使 用 起 来 非常 方便 ,不 论 是 签名 还 是 加 密 、 解 密 , 具 体 的 步骤 
都 将 由 电子 邮件 客户 端 软件 实施 。 目 前 FoxMail .Outlook Express 与 Outlook 等 主流 的 电 
子 邮件 客户 端 软 件 都 能 够 支持 。 用 户 需 要 做 的 只 是 申请 电子 证 书 , 并 在 电子 邮件 客户 端 软 
件 上 指定 每 个 电子 邮件 地 址 将 使 用 哪 种 电子 证 书 。 在 需要 为 发 送 的 电子 邮件 签名 或 加 密 时 
单 击 相应 的 按钮 即 可 完成 。 接 收 经 过 签名 或 加 密 的 邮件 时 ,验证 邮件 是 否 完整 和 解密 的 工 
作 将 由 电子 邮件 客户 端 软 件 自 动 完 成 。 

现在 全 球 三 大 数字 证 书 颁 发 机 构 Verisign、Thawte 和 Geotrust, 其 中 Thawte 和 
Geotrust 已 经 被 Verisign 收购 ,成 为 其 全 资 子 公司 。Thawte 是 一 个 专门 为 邮件 系统 颁发 
免费 数字 证 书 的 公司 ,下 面 我 们 以 申请 该 公司 的 数字 证 书 为 例 , 介 绍 安全 发 送 邮件 的 方法 。 


8.6.2 邮件 的 加 密 和 数字 签名 步骤 


发 送 数字 签名 和 加 密 的 邮件 需要 经 过 如 图 8-118 所 示 操 作 步骤 。 


设 

收 
注 申 车 发 证 
册 请 和 邮 安 3 
所 证 信 全 
四 所 村 县 理 

信 件 


图 8-118 邮件 加 密 和 数字 签名 的 操作 步骤 


1. 注册 Thawte 


(1) 登录 http://www. thawte. com:, 选 择 中 间 导 航 栏 上 的 Products/ Free Personal E- 
mail certificates( 生 成 /免费 的 个 人 邮件 证 书 ) 命 令 ,如 图 8-119 所 示 ,打开 个 人 邮件 证 书页 面 
(图 8-120) , 单 击 页 面 上 方 的 Join 按钮 , 即 可 进行 注册 。 


苞 注 意 ;: Thawte 上 几乎 所 有 的 Web 程序 都 采用 . exe 扩展 名 ,因此 如 果 你 的 系统 上 
安装 了 FlashGet 之 类 根据 文件 扩展 名 自动 下 载 的 工具 软件 ,需要 暂时 设置 下 载 软件 不 监 
视 浏览 器 上 的 单 击 动作 。 


(2) Thawte 提供 一 个 向 导 式 的 注册 页 面 , 单 击 next 按键 ,在 Charset For Text Input 
(设置 输入 文字 类 型 ) 下 拉 菜 单 中 选择 你 将 以 哪 种 语言 输入 个 人 信息 ,建议 以 英文 输入 个 人 
信息 (姓名 出 生日 期 国籍 ) ,避免 在 未 来 证 书 处 理 时 出 现 错误 ,如 图 8-121 所 示 。 单 击 next 
按键 ,在 打开 的 Requesting ID Information 页 面 中 填写 你 的 邮箱 地 址 ,如 图 8-122 所 示 。 

(3) 单 击 next 按键 ,在 打开 的 对 话 框 中 使 用 默认 的 设置 Use mybrowser settings 即 可 。 
单 击 next 按键 ,打开 如 图 8-123 所 示 页 面 ,进行 密码 设置 。 单 击 next 按钮 ,打开 如 图 8-124 
所 示 页 面 ,在 此 设置 不 少 于 5 个 问答 以 用 于 忘记 密码 时 验证 身份 。 


到 thawte is a leading global certificate authority ofSSL extended validation ssl(EYS5L) and c- Microsoft Internet Explor 
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图 8-119 Thawte 主 界面 


加 personal E-mail Certificates - se ail communications - Microsoft Interet Explorer 
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Faas 
A thawt Persona E-mail Certiicate in corjuncson wih tre thawte Web of Trust alows you 
to socire and unrantee orthoranp of your e-nad ameminications by Gotaly sigring and 
encrypting Your e-nalls. ebsoltely FREE 


Dovnload Product Overview 
Shest 


下 [PDF Version] 


| Flashpaper Version] 。 Certificate Features and Denefits: 


A thawe Personal E-mal Certificate Account can be used indefntely at no cost 

You need only enrol once to otkaln mutiple ertlicates 

® Ease of use - you can log in to your cerificate eccount from anywhere nthe word, 
24 hours & day, 7 dayse wesk to view or Update your profieke 

The unique thnute Weh of Trust (NOT) cormuriy where #h mwte ermpowers 
existing members to become 榜 owte Notaries, alowing them to certfy th identiy of 
her tate parsonal carlincate vsers. Resd more cn tne tte Web of Trust 


thavte Fersonal Email Certficats system,in corjurction wih the thavwte Veb of Trust 
WOT), a tred and tested way to secure el -ma Communicatons. A sample regstrabon 
Process alows youto erioythe denefts cf thawte's Personal Certification System — 
absoldely FREE. 


图 8-120 个 人 邮件 证 书页 面 
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四 https//www.thawte.com - New Registration in Thawte's Personal - 


Hf you are lkely to enter characters that are not ASCI Oe accented characters) onthis 
page or subsequent Fages of the enrolment process, please choose a character 
encoding or charset fom the drop-down Ist box below. F you are nat sure what 
charsetto choose cick here to get a lst of recommended charsets for languages. 
The detault charset choice is the recommended charset Pr your browser anguage 
preference, 


charset For Toxt nput 


Name And Nationaliy 


Please note that you need to be 13years or older to enrollinthe personal 
cert system. 


Please complete the form below 
Surname or Family Name 
First Names or Given Names 
Date Of Birth 
Please gve your date of brth_ You need to 


‘specity the full year,including century. For 
example, "1973" or 4942" 


Nationality 


图 8-121 填写 个 人 信息 页 面 


四 https//www.thawte. assword Setup - Microsoft InternetE 


forget your password. In short 


1. You wil be unable to revoke or renew your certiicates, or get adcitional 
cartiicates for other purposes, 


You wil not ke able to enrall n the system again because your emal address 
has already keen used 


Tips for a good password: 
4, Your password shouid be between 6 and 20 cheracters long. 


2, Your passwordis case senstive, and shouid cotain upper and ower case 
Jemters anc scme gts, t shoutt only nclude US-ASCI characters and NOT 
nation-specife characters， 

3, Ifyou forget or lose your password you wil not be able to update your 
dress infomnation revoke certificates, request ackcitional ceriificates, 
update your emall information, or renew your cerificates. 


Please enter the password you Wishto use. Please check that you dont have CAPS 
LOCK on then enter tre password you want in each space below. 


Personal Password: 


Confirm password: | 


图 8-123 ”进行 密码 设置 页 面 


ED 


[Requesting ID Information] 


Email Address/thawte Username 


Please enter your email address in the space below. This email aress wil not only be Used in 
personal certifcates for secure emai, but will also be used as your thawte username for 
rto the Personal Certificate System thawte wil not send any unsolcted emai for announceme 
advertising purposes We wil, however, send criical secury announcements to you if we fee 
privacy or securty might have been compromised, You can disable even that level of messagin 
preferences system once youhave been enroled 


Email Addressithawte Username 


Ey 


Please give Your ful emal orkdress.If you miss-type tyou wil nd be able to obtain secure ma 
ma cient You can sways add secondary emai aridress and deactivate this emal address ol 


EY PE 


加 https//wwwthawtecom - Passwo 


[Password Questions ] 


Set Password Questions 


We syise that you keep your password in a home safe or bank cepost box to 
prevent someone steaing t, end to ensure that you dont forget t or lose tf you do 
osei however, we have to go through a secure process to autkenticate you and 
help youreset 


Second, we wil ask you to choose 5 question-and-answer pairs ‘don' forget to 
check the relevant checkboxes). VWe have some standard questions for you to choose 
trom, or you can edd your own Adding your own mekes the systsm more secure. 
ms long gs you remember the answers when we ask you the questionsl These 
questions wil be the basis of the authentication mechanism we wl use to prove Your 
entty Please keep the questions and answers you supply in English to 
avoid any confusion! Please note that the case of your snswers wil not be 
considered during any authentcation process 

Our Questions 

i whatis your mother's maden name? 

Whatis your father's midile name7 


Whatdo you enioy doingthe most? 


加 what makeis your fridge? 
Vwhat is the location of ycur drearm holiday? 


同 who is vour favorie autror? 


EE 


图 8-124 设置 问题 与 答案 页 面 


区 注意 : 你 可 以 在 网 站 设 定 的 问题 中 选择 回答 也 可 以 自己 设 定 问题 ,但 注意 总 数 不 


于 5 个 ;否则 无 法 进入 下 一 步 。 


(4) 单 击 next 按钮 ,打开 如 图 8-125 所 示 Please Confirm Enrollment Information( 请 确 
定 注册 信息 ) 页 面 ,如 果 确 定 注册 的 信息 无 误 , 单 击 next 按钮 ,打开 Mail Ping Sent( 邮 件 发 
送 ) 页 面 ,如 图 8-126 所 示 , 告 知 你 需要 接收 网 站 的 验证 邮件 并 按 邮件 中 的 提示 进行 操作 ,证 


明 你 的 确 拥有 该 电子 邮箱 的 使 用 权 。 


SS 
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二 https//www.thawte com - Please Confirm Enroliment Information-- 


[Please Confirm Enrollmentinformation] ED - Mail Ping sent - Microsoft Internet Expl-， 一 


[ Mail Ping Sent] 


Please Confirm Enrolment Information 


Please examine the inionmation presented below, end I yau see any mistakes smply 
use your browser "Back hutton to correct them. Please note that this nformaton 王 TO 
permanent once created, so ts worth taking the time row to ensure tis accurate, 
Ta you for campleang pnase 1 of he enralment process We have sent an enalto 
i Your ocress, agnesguigui@126.com, wih nstructions for therest of the 
enrobnent, Please check your emai regularly and respond to those instructions as 
Forenames: soon ss you receive them.If yxu do not receive them wihin 15 minutes please check 
that your mai is functioning corecty If you do nat respond to the emall we send You 
TODAY you coutd have prcblems completing the enrolment process. If you do have 
Hationality. probems we suggest enralne agan, 


Date of Birth: 


Emmaik 


and can be changed in 


PreferredLanguage: Use my browser setings 
Preferred Charset: Detaut 


Below are the questicns and answers you have suppliedto help you obtain anew 
password fnecessaY .If you see any mistakes Simply use your browser "Beck 
buttonto correct ther. This information is nat permanent and can be changed mn your 
‘Preferences’ page, 


自 国 Itemet 


图 8-125 ”Please Confirm Enrollment Information 页 面 图 8-126 ”Mail Ping Sent 页 面 


(5) 打开 你 的 邮箱 中 来 自 Thawte 的 验证 邮件 ,使 用 浏览 器 打开 邮件 中 指定 的 链接 
https://www. thawte. com/cgi/enroll/personal/step8. exe, 如 图 8-127 所 示 , 并 在 页 面 上 
Probe 和 Ping 右边 的 两 个 文本 框 中 输入 邮件 中 对 应 的 内 容 。 单 击 next 按钮 ,打开 完成 注册 
页 面 ,如 图 8-128 所 示 。 

号 personal Certification System Enrollment - Microsoft Internet Explorer 

文件 E) 编辑 6) 查看) 收 着 (a) 工具 ID 帮助 t) 

@ 磺 - 旧 - 国 国内 时 闪 Wmx 加 区 -对 加 : 口 网 侈 级 
地 址 (0) | 狠 https:/jwww.thawte.comjcojenroljpersonaljstep8.exe > Eh 
WYOcfero - |9 v 注入 搜 未 问 搜索 乞 辐 | 可 人 if 出 宣 D 了 多 唤 - 国 


worldwide sites quicklogin 


NS a trust thing 


Home Products Partners Buy Renew Trials Guides 


Personal E-mail Certificates 


[secure e-mall communicaon } 


Enter Your Probe and Ping 


The emaill you received should contain two values, marked "probe” and "ping .Please copy those valu 
provided below 


About thawte | Consumer Awareness | © thawte, nc 1995-2008 | Repository | Privacy Policy | Legal No 


自 国 Internet 


图 8-127 邮箱 中 指定 的 链接 页 面 
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文件 (E) ”编辑 (E) ”查看 (V) 收 语 (4) 工具 (D 帮助 (H) 


@ 扣 :上 旭 国 国 多 时 语 mx 轩辕- 半 固 - 口 网 合租 总 
地 址 (D) [ 箭 https:/jwww.thawte,comjcgijenraljpersonaljstep8.exe ”| 固 网 
Yociero -|Y> 注 》 扫 过 司 扳 来 让 加 @ 史 : 


andwhae sites ucktegn 
[rae vor scon [mayorsamy =) [silo 
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Certificates 
) 


Thawte Username Successfully Createdl 


Congratulations! You now have an account mn our database that wil give you access to the Thawte Personal Certification 
System and you will never need to complete this enroliment again. You wil need the password you selected earler, a| 
have stored sately, 


Your username is: 
AGNESGUIGUI@126.COM 


Once you have recorded your username exectly as shown here, inclucing al punctuation, deshes and other characters, pres 
the “Next" button below. This wil take you to the certificate enrolment in the Thawte Personal Certification System so that you 
can obtain your first Thawte Personal Cert. YOU wil be prompted for the username (sbove) and password you selected 


In future, when you want to get Into the system you can go directy to the Personal Certification System Home page st the 
tolowing URL https:/Wwww.thawte.com/egipersonalicontents.exe. You wil need your username 
(AGNESGUIGUI@1 26 COM) and password 


Once you have successtully reached the home page you should bookmark ft for easy future reference. You wil probably war| 
to come back several times, to add and remove emall adcresses, get new certs with different information contained in them, 
revoke some certs, end renew cthers 


图 8-128 完成 注册 页 面 


2. 申请 证 书 


(1) 在 图 8-128 页 面 上 单 击 next 按钮 (或 者 回 到 网 站 的 首页 再 次 进入 个 人 邮件 证 书页 
面 单 击 login 按钮 ) ,在 弹出 的 [登录] 窗口 (图 8-129) 
中 使 用 刚才 注册 的 账户 登录 。 

(2) 初次 登录 网 站 将 自动 定位 到 证 书 申请 页 面 | 
(图 8-130) , 单 击 request 按钮 ,打开 数字 证 书 申请 向 | Wot 2 or Da ets 各 "cx 

Example: US-123456789-1) and password 

导 , 申 请 向 导 的 步骤 很 多 ,只 需 一 直 单 击 next 按钮 采 | 局 pgw: 
用 默认 选项 即 可 。 唯 一 需要 注意 的 是 , 当 步骤 进行 | 瑾 @: 
到 configure X. 509v3 certificate extensions( 配 置 证 2 


书 范围 ) 时 (图 8-131) ,页 面 上 有 两 个 按钮 ,此 时 可 以 CM 
单 击 accept( 接 受 ) 按 钮 选择 默认 配置 。 图 8-129 【登录 J 窗口 


连接 到 www.thawte.com 


区 注意 : 在 申请 证 书 的 过 程 中 ,网 站 会 要 求 我 们 自己 选择 要 包括 在 其 中 的 电子 邮件 
地 址 。 由 于 你 是 第 一 次 申请 ,网 站 默认 只 为 你 注册 时 填写 的 电子 邮件 地 址 生成 证 书 , 但 实 
际 上 你 可 以 将 多 个 电子 邮件 地 址 包括 在 一 个 电子 证 书 中 。 
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Certihcates Available For Request - Microsoft Internet Explorer 


文件 (E) ”编辑 (E) ”查看 (V) 收 语 (4) 工具 (D 帮助 (H) 


所: 目 国 国 多 有 时 雁 mx 加 全- 学 回 -[ 网 合 散 为 
地 址 (D) [ 痢 https://www.thawte.comjcgijpersonaljcertjenroll.exe 固 # | | 网 - 
Soatano -|Y -注入 搜索 司 搜索 少 存 图 


worldwide sites quicktogin 


thawte ed 四 


Ns a trust ming 
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Personal E-mail Certificates 


J secure emall communicadon | 


i mn requesta certificate 
You are about to request a certificate at the Freemal level of assurance We can issue certificates mn many different formats, 
certificates Below you wil see a fst of each of the kinds of certificate we support. Remember, certs are FREE , so you can get as many 0 
tewas this farl 
Si as few as you Ike now that you have come this fa 


view certificate status 
revoke a certificate 


myemals [renuest 


We » Developers of New Security Applications ONLY 


These are enrolment processes that alow developers of new secure applcations to test their interoperebilty with thawte's P 
Please do not request these certificates unless you Inow what you are doing. 


About thawte | Consumer Awareness | © thawte, Inc. 1995-2006 | Repository | Privacy Policy | Legal Notices 


图 8-130 ”证书 申请 页 面 


四 https://www.thawte.com - configure xX.509v3 certificate extensio... 


[configure X.509v3 certificate extensions ] 


Accept Default Extensions 


The newest versions of the certificate standard alow you to embed a series of 
certificate extensions into your cioital certificate. These extensions wil influence 
how the certificate can be used by applications. You can safely skip this page by 
accepting the defaut extension configuration. 


Advanced Users: Configure Certificate Extensions 


Click "Configure Certificate Extensions" to customize some of the more common 
certificate extensions. Don't choose this option unless you know What you are doing 


图 8-131 configure X. 509v3 certificate extensions 页 面 


网 络 安全 技术 案例 教程 Sy 


| 
> 


3. 安装 证 书 


操作 步骤 如 下 : 
(1) 回 到 刚才 登录 时 的 操作 界面 (图 8-130) ,选择 certificates / view certificate status 


(证 书 / 查 看 证 书 状 态 ) 选 项 , 主 窗 口 显 示 如 图 8-132 所 示 。 单 击 Status 栏 显 示 为 pending( 未 
安装 ) 的 证 书 MSIE 。 


汤 Certincate Request Status - Microsai 
文件 口 “本 可 器 查看 由。 收 三 A) 工具 D 肋 中 


@m- 日 四 加 的 有 Pe 次 mx @ 全 -如 回 - 口 网 并 


Es 
地 址 (D) 7 TREE 


"| 固 # | 广 | 网- 


IEP TT ET 


‘worldwde sites quickfogin: 


[rr | 


[sitemap ] 


Home Products Partners Buy Renew Trials Guides Support Contact! 


1 Certificates 


Below is a ist of certificates you have requested, Rered if necessary. You can select a certificate to view more status 
details. You can change the flter on the lst of certificates shown below by selecting the relevant certificate status tromthe 
dropdown box below and pressing "Flter". By detault al the certificates YOU have ever requested are shown, 


eens ene =] | 
Type: Status: Date: 
MSIE pending Fn,10 October, 2008,16.1523 GMT 


About thawte | Consumer Awareness | © thawte, Inc. 1995-2008 | Repository | Privacy Policy |Legal Notices 


| 鸭 https: /jwww.thawte, comjcgilpersonal/cert/status.exe 
图 8-132 certificates / view certificate status 页 面 
(2) 打开 证 书 详细 信息 页 面 如 图 8-133 所 示 ,在 该 页 面 下 方 单 击 Fetch( 取 得 ) 按 钮 , 打 
开 Install Your MSIE Certificate( 安 装 你 的 MSIE 证 书 ) 页 面 ,如 图 8-134 所 示 。 
(3) 单 击 Install Your Cer( 安 装 你 的 证 书 ) 按 钮 ,把 刚才 申请 的 证 书 安装 到 你 的 系统 上 。 


在 安装 证 书 的 过 程 中 系统 将 两 次 弹出 对 话 框 ,要 求 确认 在 当前 系统 上 安装 证 书 。 安 装 成 功 
即 出 现 如 图 8-135 所 示 确 认 框 , 单 击 【 确 认 了 按钮 完成 安装 。 


4. 设置 邮件 客户 端 


获得 电子 证 书后 ,需要 在 自己 使 用 的 电子 邮件 客户 端 软件 设置 相关 的 选项 ,然后 才 可 以 
使 用 数字 证 书签 名 或 加 密 邮 件 ,下 面 介绍 在 FoxMail 上 的 设置 和 使 用 方法 。 


(1) 在 FoxMail 中 选择 相应 账户 , 右 击 , 在 弹出 的 快捷 菜单 中 选择 [属性 了 命令 ,打开 【 邮 
箱 账 户 设置 ] 对 话 框 ,在 左 侧 窗 口中 选择 【安全 】 选 项 ,如 图 8-136 所 示 。 
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当 Certificate Request Status - Microsoft Internet Explorer 


EECEOEE 


四 银 - 轩 - 国 国 提 甩 及 交 wm 因 全 -学 回 -上 网 合 角 为 


地 址 (0) | 撞 htpsyjwmw thamte.comjcoNpersonalcertlstatus eveyseria-122646367702853422793568153607879604848 。 了 ] 国 ] 苇 到 | 链接 | 喇 - 
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Personal E-mail Certificates 


{secure e-mail communicafion } 

oe » Certificate Summary 
AssuranceLevet Freenal Status: pendng 
Request Date: 20081040 ValidFrom: nis 
Certificate Type: MSE ValidT nie 
Payment: Nocharge. Revoked: ni 


certificates 


request a certificate 
view certificate status 
revoke a certificate 


» Certificate Distinguished Name 


The certifcate was requested for the folowng dstinguished name If there is an emai ocddress in here then the certificate wil 
trusted for signed emal coming from that ermal ddress. The certificate may also be trusted for adcitional email acddresses. 


Common: Thawte Freemal Member 
Emalk 。 egnesguguG126 com 


Yeu can get your ful name nto your certificate through the thawte Web of Trust 
Nmay also nchude ot least the tolowing extensions: 


_¥ 89 Sutviect amarme 
一 


人 国 niemet 


图 8-133 证 书 详细 


Installing MSIE certificate - Microsoft Internet Explorer 


文件 (E) ”编辑 (E) 查看 (W 收 宋 (a) 工具 (D 


Aaa-© 国 回 的 Par 


地 址 (D) [机 https://wwew .thewte.comlcoypersonalcertldeiver exe 


Personal E-mail Certificates 


[Secure -mall commenicaton ] 


install your MSIE certificate 


This page lows you to nstal the certificate which you have requested and which has been signed on your behalf by thawte 
Please press the button below to complete the certificate downioad. You wil then be able to use your thawte certifcate to 
uthenticate yourself to onine services. To view the certificate n MSE 4, select View-»internet Options->Content end then 
press the button for "Personar certficates To view the certificate in MSIE 5, select Tools->internet Options->Content and then 
press the button for "Certifcates" 


Your certificate can be used wih Outiook 96 and Outiook Express to secure your email using the SMME standard 


图 8-134 Install Your MSIE Certificate 页 面 
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VBScript: Certificate Installation Comple.— 


Personal Certificate Installed, 
See Tools->Internet Options- >Content- >Certificates 


图 8-135 【证 书 安装 成 功 ] 确 认 框 


本 在 下 面 选 择 签名 证 书 。 这 将 决 定 此 账户 在 发 送 签名 邮件 时 所 
使 用 的 数字 证 书 : 


See 
选择 你 原意 接收 的 加 密 邮 件 的 和 法 ， 这 项 信息 会 六 包含 到 你 
网 可 邮 件 中 ， 从 而 和 好 人 可 以 用 这 项 和约 加 


图 8-136 【邮箱 账户 设置 3 对 话 框 


(2) 单 击 [ 选 择 了 按钮 ,在 弹出 的 [选择 证 书 ] 对 话 框 (图 8-137) 中 ,选中 Thawte 证 书 名 


称 前 的 复 选 框 并 单 击 【确定 了 按钮 ,返回 [邮箱 


账户 设置 了 对 话 框 。 


(3) 对 话 框 右 侧 将 显示 出 证 书 的 相关 信 


请 为 电子 邮件 地 址 "agnesguigui@126.com" 选择 证 书 。 


息 ,如 图 8-138 所 示 。 单 击 [确定 了 按钮 ,保存 “| 芋 生生 生生 和 


邮箱 账户 设置 。 


以 后 在 使 用 FoxMail 编辑 邮件 时 , 即 可 
通过 邮件 编辑 窗口 工具 栏 上 的 【签名 了 和 【加 
密 ] 按 钮 ,使 用 自己 的 数字 证 书签 名 或 使 用 收 


件 人 的 证 书 加 密 邮 件 。 


图 8-137 【选择 证 书 ] 对 话 杠 


兮 aonesguigui@126<con 安全 


| 其 lbpops 
ss 
A 和 

六 信纸 
QQ 


在 下 面 选择 签名 证 书 。 这 将 决定 此 账户 在 发 送 签名 邮件 时 所 
使 用 的 数字 证 书 : 


[rome Froemal Menber | (EIEN 


有 效 期 起 始 日 期 2008-10-10 到 2009-10-10 


[查看 ES ] 


选择 悠 愿意 接收 的 加 密 邮 件 的 算法 。 这 项 信息 会 被 包含 到 歇 
人 从 而 使 其 他 人 可 以 用 这 项 设置 周 悠 发送 加 密 


3DE5 (168 bits) 加 
Cm LR 


图 8-138 显示 出 证 书 相 关 信 息 的 【邮箱 账户 设置 ] 对 话 框 


5. 收发 安全 邮件 


在 发 出 的 邮件 上 签名 的 方法 非常 简单 ,在 设置 邮件 客户 端 软件 的 过 程 中 ,可 以 选择 对 所 
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有 发 出 的 邮件 签名 ,也 可 以 设置 证 书后 在 编辑 邮件 时 单 击 【签名 按钮 实现 签名 页 面 ,如 
图 8-139 所 示 。 


会 写 邮 上 ? ( 张 效 ) 


艾格 
2008-10-11| 


图 8-139 ” 单 击 【签名 按钮 实现 签名 页 面 


当 收 件 方 接 到 一 封 已 签名 或 加 密 的 安全 邮件 时 ,将 分 别 以 不 同 的 图 标 在 * 收 件 箱 ” 中 显 
示 使 用 了 数字 签名 的 邮件 与 加 密 邮 件 ( 验 证 邮件 是 否 完整 和 解密 的 工作 将 由 电子 邮件 客户 
端 软件 自动 完成 )。 在 阅读 邮件 时 ,软件 将 首先 显示 安全 邮件 帮助 页 面 ,邮件 可 能 出 现 的 任 
何 问题 都 将 在 该 页 面 上 做 出 详细 描述 (图 8-140) 。 单 击 【 继 续 了 按钮 ,如 果 该 安全 邮件 存在 
问题 ,信息 之 中 可 能 出 现 “ 安 全 警告 "之 类 的 描述 ,告知 用 户 该 邮件 已 被 算 改 或 并 非 来 自 所 谓 
的 发 件 人 (图 8-141) ,告知 用 户 该 邮件 的 数字 证 书 不 被 信任 ;如 果 邮 件 没 有 问题 ,将 打开 如 
图 8-142 页 面 查 看 邮件 内 容 。 


文件 (E) 编辑 人) 查看 邮件 (O 工具 (D 


骂 - 轩 -如 | 罗 风 - 第 轨 | 加 及 


HTML 


国术 | 

因 张 数 图 
2009-10-11 20:13:21 

芒 格 的 证 书 

邮件 被 签名 , 没有 安全 问题. 显 | 


安全 帮助 
数字 签名 邮件 7 
县 此 部 件 由 发 件 人 数字 签名 。 


他 人 钛 数字 签 名 邮件 能 够 让 您 确认 一 封 邮件 的 真实 性 En 自 该 发 件 人 ， 
且 在 传输 过 程 中 未 被 臭 改过 。 签 名 邮件 带 有 签名 邮件 图 未 


所 邮件 可 能 出 现 的 任何 问题 都 将 在 本 信息 之 后 可 能 出 现 的 “安全 警告 “中 得 到 描 
。 如 采 存 在 问题 ， 您 应 该 认为 邮件 已 被 算 改 ， 或 并 非 未 自 所 谓 的 发 件 人 。 


当 收 甩 一 封 加 密 邮 件 时 ， 您 应 该 可 以 自信 地 认为 邮件 未 陂 任何 第 三 者 读 过 。Foxrail 
会 自 夭 对 电子 邮件 解密 ， 如 果 在 您 的 计算 机 上 装 有 正确 的 数字 标识 。 
厂 ”不 再 显示 此 帮助 屏幕 。 


E24 站 


图 8-140 阅读 签名 邮件 的 安全 邮件 帮助 页 面 


网 络 安全 技术 案例 教程 3 


数 
2008-10-11 20:13:21 
书 


六 格 的 证 
邮件 被 签名 ， 存 在 安全 问题 


图 8-141 安全 警告 页 面 


好 ! 
这 是 我 的 证 书 ， 请 查收 : 


2008-10-11 


图 8-142 查看 邮件 内 容 页 面 
单 击 邮件 内 容 窗口 右上 角 的 签名 图 标 ,可 以 打开 如 图 8-143 所 示 [ 证 书 的 详细 信息 】 对 
话 框 。 单 击 【 添 加 到 地 址 德 ] 按 钮 ,可 以 将 发 件 人 的 证 书 安装 到 自己 的 系统 上 ,以 后 就 可 以 使 
用 该 数字 证 书 对 邮件 进行 加 密 后 发 给 对 方 了 。 
苞 注 意 : 发 件 人 对 邮件 添加 数字 签名 时 ,就 在 邮件 中 加 入 了 发 件 人 的 数字 签名 和 公 
用 窗 钥 。 数 字 签名 和 公用 密 铀 统称 为 “证 书 ”。 
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邮件 是 否 被 加 密 : 
加 密 算法 : 


查看 加 密 证 书 (E) 


图 8-143 【证 书 的 详细 信息 】 对 话 框 


在 阅读 加 密 邮 件 时 ,软件 将 显示 安全 邮件 帮助 页 面 ,如 图 8-144 所 示 。 单 击 【继续 】 按 
钮 , 即 可 查看 邮件 内 容 。 双 击 左下 角 的 附件 图 标 ,可 打开 附件 。 


安全 帮助 
加 密 邮 件 


自 此 邮件 由 发 件 人 加 密 。 
当 收 到 一 封 加 密 邮 件 时 ， 您 应 该 可 以 自信 地 认为 该 邮件 未 被 任何 第 三 者 读 过 。 


Foxmail 会 自动 对 邮件 进行 解密 ， 如 果 您 的 计算 机 上 装 有 正确 的 数字 标识 。 
厂 ”不 再 显示 此 帮助 屏幕 。 


| 


央 


图 8-144 ”阅读 加 密 邮件 的 安全 邮件 帮助 页 面 


6. 证 书 管理 


在 自己 的 计算 机 上 安装 了 包含 私 钥 的 证 书后 , 当 接 收 加 密 邮 件 时 ,解密 工作 由 系统 
自动 完成 。 如 果 想 在 其 他 计算 机 上 使 用 该 证 书 , 可 以 通过 下 面 的 方法 将 证 书 安装 到 该 计 


z 
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(1) 导出 私 钥 
@ 在 安装 了 证 书 的 计算 机 上 ,打开 IE 浏览 器 ,选择 【工具 人 Internet 选项 命令 ,弹出 


Internet 临时 文件 
EN 上 天王 的 文件 天 中 这样 可 以 
(A 提高 以 后 中 的 到 度 。 


历史 记录 
vtisterym 文件 误 中 包含 有 | ， 可 使 用 户 
[Sone 


网 页 保存 在 历史 记录 中 的 天 数 EE) [20 图 | [5 


Internet 选项 
膏 规 [安全 | 隐私 | 内 容 | 连接 | 程序 | 高 级 | 


主页 


EE 可 以 更 改 主页 。 
地 址 8): | 了 Ee 


使 用 当前 页 C) | | 使 用 默认 页 @) | | 使 用 空白 页 @) 


图 除 cookies 四 ] 网 除 文 件 设置 @) 


颜色 (0) 字体 人 0 i 铺 助 功能 EE 


如 图 8-145 所 示 【JInternet 选项 ] 对 话 框 ,选择 [内容 〗 选 项 卡 (图 8-146)。 


Internet 选项 
[党 规 [安全 [隐私 | 内容 [连接 | 程序 | 高 级 | 


分 全 审查 
EA 和 Internet 


ET 


证 书 
国 人 EREBP、 证 书 颁 发 机 构 和 颁发 商 的 


[清除 ssL 状态 ] [证 书 加 ，]】 [发 行商 @) 
个 人 信息 


本 和 


C87 配置 文件 助理 能 存储 您 的 文件 @@) 


(Lm) 
图 8-145 【Internet 选项 对话 框 


图 8-146 【Internet 选项 3 的 [内 容 】 选 项 卡 


@ 在 【证 书 选 项 区 中 单 击 【证 书 ] 按 钮 ,弹出 如 图 8-147 所 示 【 证 书 ] 对 话 框 , 单 击 【 导 
出 了 按钮 ,开始 导出 证 书 。 

@ 在 如 图 8-148 所 示 对 话 框 中 选择 【是 ,导出 私 钥 了 单 选 按钮 ,然后 连续 单 击 【下 一 步 】 
按钮 ,在 如 图 8-149 所 示 对 话 框 中 输入 保护 私 钥 的 密码 。 

@ 单 击 [ 下 一 步 ] 按 钮 ,在 如 图 8-150 所 示 对 话 框 中 给 该 私 钥 取 名 ,并 选择 存储 的 位 置 ， 
即 可 将 私 钥 导 出 为 一 个 文件 。 

(2) 导入 私 钥 。 在 其 他 计算 机 上 ,打开 IE 浏览 器 ,参考 导出 私 钥 的 操作 步骤 。 不 同 的 
是 ,在 如 图 8-147 所 示 【 证 书 】 对 话 框 中 单 击 【[ 导 入 按钮 ,随后 按 提示 选择 上 面 导 出 的 证 书 文 
件 , 即 可 导入 证 书 。 


预期 目的 


颁发 结 


| 声 有 > “~ 
全 “其 t 和 | 中 生还 移民 构 | 受信 任 的 根 证 书 大 机 构 受信 任 的 发 行者 | 轩 泗 


颁发 者 截止 日 期 好 记 的 名 称 


导入 GD 


导出 四 ,| [ 删除 


证 书 的 预期 目的 
傣 有 > 


图 8-147 【证 书 ] 对 话 框 


证 书 导出 向 导 
导出 万 铀 
您 可 以 连 择 格 私 钥 限 证 书 一 起 导出 。 
Wm 加 果 要 将 肥 钥 跟 证 书 一 起 导出 ， 修 必须 在 后 面 一 页 上 键入 密 


要 将 私 铀 跟 证 书 一 起 导出 吗 ? 
名 攻 ， 村 而 和 铺 】 
〇 不 ,不 要 导出 馈 角 们 ) 


EES 


图 8-148 【证 书 导出 向 导 】 对 应 的 【导出 私 钥 ] 对 话 框 
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证 书 导出 向 导 


审 吗 
要 保证 安全 ， 您 必须 用 密码 保护 秘 钥 。 


键入 并 确认 密码 。 


Peer 


[E30) 


图 8-149 【证 书 导出 向 导 】 对 应 的 [密码 ] 对 话 框 ”图 8-150 【证 书 导出 向 导 ] 对 应 的 [要 导出 的 文件 ] 对 话 框 


这 样 , 在 该 计算 机 上 就 可 以 使 用 该 证 书 了 。 对 于 联系 人 的 电子 证 书 也 可 以 通过 同样 的 
方法 导出 和 导入 ,以 便 在 不 同 的 计算 机 上 仍然 可 以 给 对 方 发 送 加 密 邮 件 。 


8.7 习 题 


. 简 述 PKI 技 术 及 其 应 用 。 

. 简 述 数字 证 书 及 其 作用 。 

. 简 述 对 称 密 钥 算法 与 非 对 称 密 钥 算法 的 异同 。 
. 简 述 EFS 原理 。 

. 密 钥 的 存档 与 恢复 有 什么 意义 ? 

.邮件 安全 技术 包括 哪些 方面 ? 


-i 


八国 
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本 章 学 习 目 标 : 

理解 NTFS 权限 及 移动 和 复制 对 权限 的 影响 。 

掌握 NTFS 权限 的 组 合 及 AGDLP 规则 。 

能 利用 NTFS 权限 实现 用 户 和 组 访问 文件 夹 和 文件 的 安全 性 。 
理解 本 地 安全 策略 、 域 控制 器 安全 策略 和 域 安全 策略 。 

掌握 密码 策略 ,账户 锁定 策略 和 审核 策略 。 

理解 组 策略 作用 及 应 用 规则 。 

掌握 组 策略 继承 与 阻止 继承 操作 。 

掌握 组 策略 强制 生效 、 筛 选 组 策略 设置 。 

掌握 利用 组 策略 实现 限制 软件 的 执行 。 


在 计算 机 网 络 系统 管理 中 ,网 络 服务 器 的 安全 管理 特别 重要 , 它 是 整个 网 络 的 安全 中 
心 。Windows Server 2003 是 企业 首选 的 网 络 操作 系统 ,特别 是 中 小 企业 。 因 此 , 对 
Windows Server 2003 进行 安全 配置 非常 重要 。 其 安全 配置 的 内 容 主要 包括 三 个 方面 : 文 
件 权 限 设 置 .安全 策略 配置 和 组 策略 配置 。 

文件 权限 主要 分 为 共享 文件 夹 权 限 和 NTFS 权限 ,本 章 主要 介绍 NTFS 权限 的 设置 。 

计算 机 策略 大 致 分 为 四 类 : 本 地 策略 、 站 点 策略 、 域 策略 和 OU (Organizational Units， 
组 织 单位 ) 策 略 。 它 们 的 作用 顺序 为 : 本 地 策略 、 站 点 策略 、 域 策略 .OU 策略 。 站 点 策略 一 
般 只 在 站 点 之 间 有 慢 速 连接 的 时 候 才 会 使 用 ,因此 ,Windows 没有 内 置 站 点 策略 ,需要 管理 
员 手 工 设置 。 本 章 主 要 介绍 上 述 策略 中 的 安全 策略 部 分 : 本 地 策略 中 的 本 地 安全 策略 、 域 
策略 中 的 域 安全 策略 和 OU 策略 中 的 域 控制 器 安全 策略 。 

组 策略 主要 介绍 其 创建 ,配置 及 应 用 方法 。 


9.1 文件 权限 


文件 权限 使 管理 员 能 管理 用 户 对 Windows 计算 机 上 文件 系统 资源 的 访问 。Windows 
是 通过 设置 文件 权限 来 保护 数据 安全 的 。 文 件 权 限 主要 有 共享 文件 夹 权限 和 NTFS 权限 
等 ,本 章 主要 介绍 NTFS 权限 。 
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9.1.1 NTFS 权限 概述 


1. NTFS 概述 


NTFS (New Technology File System) 是 从 Windows NT 开始 使 用 的 文件 系统 ， 
Windows Server 2003 也 推荐 使 用 这 种 高 性 能 的 文件 系统 。 它 是 一 个 特别 为 网 络 和 磁盘 配 
额 文件 加 密 等 管理 安全 特性 设计 的 磁盘 格式 。NTFS 具有 如 下 特点 。 

(1) 支持 更 大 的 磁盘 容量 。NTFS 可 以 支持 的 分 区 大 小 可 以 达到 2TB( 即 2048GB) 。 
而 FAT16 文件 系统 支持 分 区 的 大 小 最 大 为 4GB,FAT32 文件 系统 支持 分 区 的 大 小 理论 上 
最 大 为 2TB。 

(2) 设置 访问 权限 。 在 NTFS 分 区 上 ,可 以 为 共享 资源 ,文件 夹 和 文件 设置 访问 许可 权 
限 : 一 是 设置 允许 访问 的 组 或 用 户 ; 二 是 设置 其 访问 的 级 别 。 与 FAT32 文件 系统 下 对 文件 
夹 或 文件 进行 访问 相 比 ,安全 性 要 高 得 多 。 

(3) 支持 对 分 区 文件 夹 和 文件 的 压缩 。 这 种 文件 系统 级 的 压缩 功能 效率 很 高 ,任何 被 
压缩 的 内 容 能 被 基于 Windows 2000/XP/Server 2003 的 应 用 程序 直接 读 写 ,不 需要 解压 缩 
软件 。 文 件 关闭 或 保存 时 会 自动 对 文件 进行 压缩 。 

(4) 支持 文件 加 密 。 使 用 EFS(Encrypting File System, 加密 文 件 系 统 ) 功 能 可 以 对 
NTFS 分 区 上 的 文件 和 文件 夹 进行 加 密 保 存 。 如 果 没 有 加 密 用 户 的 账户 和 密码 ,即使 是 管 
理 员 也 无 法 对 这 些 加 密 资源 进行 访问 。 为 用 户 提供 了 更 高 层次 的 安全 保证 。 

(5) 支持 数据 恢复 。NTFS 是 一 个 可 恢复 的 文件 系统 。NTFS 通过 使 用 标准 的 事物 处 
理 日 志和 恢复 技术 来 保证 分 区 的 一 致 性 。 发 生 系统 失败 事件 时 ,NTFS 使 用 日 志文 件 和 检 
查 点 信息 自动 恢复 文件 系统 的 一 致 性 。 

(6) 磁盘 配额 管理 。 磁 盘 配额 指 管理 员 可 以 为 用 户 所 能 使 用 的 磁盘 空间 进行 配额 限 
制 。 该 功能 使 管理 员 可 以 方便 合理 地 为 用 户 分 配 存储 资源 ,避免 由 于 磁盘 空间 使 用 的 失控 
可 能 造成 的 系统 崩溃 ,提高 了 系统 的 安全 性 。 

(7) AD 需要 使 用 NTFS。AD 必须 安装 在 NTFS 文件 系统 的 分 区 。 


2. 三 种 文件 系统 比较 


FATI16 文件 系统 是 以 前 DOS 使 用 的 文件 系统 , 它 最 大 可 以 管理 4GB 的 分 区 。 

FAT32 文件 系统 是 FAT16 文件 系统 的 派生 文件 系统 。 采 用 32 位 文件 分 配 表 ,支持 
32GB 的 分 区 。 

FAT16、FAT32 和 NTFS 三 种 文件 系统 的 主要 区 别 如 表 9-1 所 示 。 


表 9-1 FAT16 FAT32 和 NTEFS 的 比较 


比较 项 目 FAT16 FAT32 NTFS 
活用 操作 系统 DOS、Windows 95/98/ME/ | Windows 95/98/ME/ | Windows NT/2000/XP/ 
2000/XP/Server 2003 2000/XP/Server 2003 | Server 2003 
最 大 分 区 尺寸 4GB 2TB( 理 论 上 ) 2TB 


网 络 安全 技术 案例 教程 


续 表 
比较 项 目 FAT16 FAT32 NTFS 

分 区 中 最 多 文件 数 ”| 小 于 65 000 接近 无 限 接近 无 限 

最 大 文件 尺寸 2GB 4GB 决定 于 文件 存放 分 区 的 尺寸 
最 大 艇 数 65 535 268 435 456 几乎 无 限 

数据 压缩 支持 不 支持 不 支持 支持 

数据 加 密 支 持 不 支持 不 支持 支持 

磁盘 配额 支持 不 支持 不 支持 支持 

安全 性 构造 不 支持 不 支持 支持 

可 恢复 性 不 支持 不 支持 支持 

磁盘 空间 节约 在 大 分 区 上 最 低 一 般 最 大 


3. 怎样 获得 NTFS 


(1) 格式 化 磁盘 时 选择 NTFS。 格 式 化 磁盘 时 ,可 以 在 文件 系统 的 下 拉 列 表 框 中 选择 


NTFS( 图 9-1) 。 

(2) 将 FAT 分 区 转换 为 NTFS 分 区 。 使 用 convert 命 
令 可 以 将 FAT 分 区 无 损 转 换 为 NTFS 分 区 ,但 NTFS 分 区 
无 法 转换 为 FAT 分 区 。 例 如 ,将 D 盘 转 换 为 NTFS 格式 ， 
则 在 非 D 盘 输入 命令 : convert d: /fs:ntfs。 

(3) 使 用 软件 进行 转换 。 可 以 使 用 第 三 方 软件 (如 
PQmagic) 将 FAT 分 区 转换 为 NTFS 分 区 。 


4. NTFS 权限 


NTFS 权限 是 指 系统 管理 员 或 文件 拥有 者 赋予 用 户 和 
组 访问 某 个 文件 和 文件 夹 的 权限 ,通过 允许 或 禁止 某 些 用 户 
或 组 访问 文件 或 文件 夹 ,实现 对 资源 的 保护 。NTFS 权限 既 
可 以 在 本 地 应 用 ,也 可 以 在 域 中 应 用 。 

NTFS 权限 分 为 NTFS 文件 权限 和 NTFS 文件 夹 权 


格式 化 SOFTWARE (D:) 


容量 亿 ) 

39.0 GB 
文件 系统 严 ) 

村 
分 配 单元 大 小 以) 
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Emma | 
格式 化 选项 四) 

回 快速 格式 化 @) 

加 局 用 压缩 


口 季 建 一 个 


WS-D0S 启动 盆 他 


OO 


图 9-1 格式 化 磁盘 对 话 框 


限 。NTFS 文件 权限 是 应 用 在 文件 上 的 NTFS 权限 ,用 来 控制 用 户 对 文件 的 访问 。NTFS 
文件 夹 权 限 用 来 控制 用 户 对 文件 夹 和 该 文件 夹 下 的 文件 及 子 文件 夹 的 访问 。 默 认 该 文件 夹 
下 的 文件 及 子 文件 夹 继 承 该 文件 夹 的 NTFS 权限 ,因此 ,通过 对 文件 夹 设置 权限 可 以 赋予 
该 文件 夹 下 的 文件 及 子 文件 夹 权限 。 

表 9-2 列 出 了 NTFS 文件 权限 和 NTFS 文件 夹 权限 基 本 类 型 的 内 容 。 

表 9-2 中 的 权限 可 以 称 之 为 NTFS 的 标准 权限 。 除 了 这 几 种 标准 权限 外 ,还 有 一 些 特 
殊 的 NTFS 权限 ,作为 这 几 种 标准 权限 的 补充 和 细 化 。 例 如 ,在 特殊 NTFS 权限 中 把 标准 
权限 中 的 “ 读 取 ”权限 细 分 为 “ 读 取 数 据 "“ 读 取 属 性 "“ 读 取 扩 展 属性 ”和 * 读 取 权 限 ” 四 种 更 
加 具体 的 权限 。NTEFS 特殊 权限 与 标准 权限 的 关系 如 表 9-3 所 示 。 
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表 9-2 NTFS 文 件 权 限 和 NTFS 文件 夹 权 限 基本 类 型 


权限 类 型 NTFS 文 件 权 限 NTFS 文件 夹 权 限 
读 取 允许 用 户 读 取 文件 ,查看 文件 的 属性 、 所 | 允许 用 户 查看 文件 夹 内 的 文件 和 子 文 件 夹 的 属 
有 者 及 其 权限 性 .所 有 者 及 其 权限 
, 允许 用 户 在 文件 夹 中 创建 新 文件 和 子 文件 夹 ， 
允许 改写 文件 ,改变 文件 的 属性 ,查看 文 a | 
写 信 件 的 所 有 者 及 其 权限 人 
列 出 文件 夹 无 此 选项 多 许 用 户 查看 文件 夹 内 的 文件 和 子 文件 夹 的 
内 容 内 容 


允许 用 户 把 文件 夹 移动 到 其 他 文件 夹 中 (即使 
用 户 没有 其 他 文件 夹 的 权限 ) ,执行 读 取 权限 ， 
执行 列 出 文件 夹 内 容 操作 


允许 用 户 修改 或 删除 文件 ,执行 写 人 权 | 允许 用 户 修改 或 删除 文件 夹 ,执行 写 人 权限 , 执 


允许 用 户 运行 应 用 程序 ,执行 读 取 权 限 


读 取 和 运行 操作 


Sp 限 ,执行 读 取 和 运行 权限 行 读 取 和 运行 权限 
、 | 允许 用 户 修改 文件 夹 NTFS 权限 并 获得 文件 夹 
完全 控制 。 | 允许 用 户 修改 文件 NTES 权限 并 获得 | 所有 权 、 删 除 子 文件 夹 和 文件 的 NTFS 权限 , 允 


文件 所 有 权 , 允 许 用 户 执 行 修改 权限 


许 用 户 执行 其 他 所 有 权限 


表 9-3 NTFS 特殊 权限 与 标准 权限 的 关系 


关注 NTPS 权 耻 读 取 和 | 列 出 文件 


特殊 NTFS 权 碌 wie dl 运行 夹 内 容 汉 
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删除 

读 取 权限 

更 改 权 限 
取得 所 有 权 


bE < 
人 
#0 | 


| 


| 起 | 入 | 这 


人 


多 
多 
人 
志 ， 


| 


网 络 安全 技术 案例 教程 


9.1.2 NTFS 权限 规则 


一 个 用 户 可 能 同时 属于 多 个 组 ,而 不 同 的 组 对 某 个 文件 夹 或 文件 拥有 不 同 的 权限 ,那么 
该 用 户 对 该 文件 夹 或 文件 具有 怎样 的 权限 呢 ? 对 于 这 种 多 重 权 限 ,NTFS 遵循 以 下 的 规则 
分 配 用 户 权限 的 优先 级 。 


1. 权限 的 累加 


用 户 对 某 文件 夹 或 文件 的 有 效 权限 是 分 配给 该 用 户 和 该 用 户 所 属 所 有 组 权限 的 总 和 。 
例如 ,用 户 stu002 同时 属于 组 stua 和 office02, 三 者 对 某 文 件 的 权限 分 别 为 读 取 、 写 入 和 运 
行 。 那 么 ,该 用 户 拥有 的 有 效 权限 为 三 个 权限 的 总 和 : 读 取 十 写 入 十 运行 。 


2. 文件 权限 高 于 文件 夹 权 限 


如 果 某 用 户 拥 有 对 某 文件 及 其 所 在 文件 夹 不 同 的 权限 , 则 文件 的 权限 高 于 文件 夹 的 权 
限 。 例如, 用户 stu002 拥有 对 文件 夹 C:\Tools 写 入 的 权限 ,同时 拥有 对 文件 C:\Tools\ 
mylx. txt 读 取 的 权限 ,那么 该 用 户 对 文件 C:\Tools\mylx. txt 拥有 的 有 效 权限 为 读 取 
权限 。 


3. 拒绝 权限 高 于 其 他 权限 


如 果 用 户 对 某 文件 夹 或 文件 同时 拥有 “拒绝 权限 ”和 其 他 权限 时 ,拒绝 权限 高 于 其 他 权 
限 , 即 该 用 户 的 有 效 权限 为 拒绝 权限 。 拒 绝 权 限 可 以 赋予 用 户 , 也 可 以 赋予 组 。 例 如 ,用 户 
stu001 同时 属于 组 stua 和 stub, 三 者 对 某 文件 的 权限 分 别 为 读 取 、 写 入 和 拒绝 写 和 信 。 那 么 ， 
该 用 户 拥 有 的 有 效 权限 为 读 取 权限 。 虽 然 组 stua 对 该 文件 拥有 写 入 权限 ,但 组 stub 对 该 
文件 拥有 拒绝 写 入 权限 ,拒绝 权限 高 于 其 他 权限 ,因此 ,组 stua 赋予 stu001 的 写 入 权限 不 
生效 。 


4. 权限 的 继承 


默认 情况 下 ,新 建 的 子 文件 夹 和 文件 会 继承 父 文件 夹 的 权限 , 根 目 录 下 的 文件 或 文件 夹 
继承 磁盘 分 区 的 权限 。 如 果 要 拒绝 继承 父 文件 夹 权限 可 以 通过 相关 操作 实现 ,如 果 要 强制 
下 级 继承 也 可 以 通过 相关 操作 实现 。 如 果 一 个 文件 拒绝 继承 父 文件 夹 权 限 , 然 后 又 设置 其 
父 文件 夹 强制 下 级 继承 ,那么 ,该 文件 被 强制 继承 其 父 文件 夹 的 权限 , 即 后 来 设置 的 权限 覆 
盖 前 面 设置 的 权限 (详细 操作 在 9. 2 节 中 介绍 ) 。 


5. 复制 和 移动 对 权限 的 影响 


对 于 NTFS 分 区 上 的 文件 ,从 一 个 文件 夹 复 制 或 移动 到 另 一 个 文件 夹 后 ,其 NTFS 权 
限 会 发 生变 化 。 如 果 NTFS 分 区 上 的 文件 或 文件 夹 被 复制 或 移动 FAT 分 区 中 ,由 于 FAT 
分 区 没有 权限 设置 ,原来 的 权限 全 部 消失 。 复 制 和 移动 文件 权限 的 变化 如 表 9-4 所 示 。 此 
操作 要 求 操 作者 必须 拥有 对 目的 文件 夹 的 写 人 权限 。 
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表 9-4 复制 和 移动 文件 权限 的 变化 


分 区 复制 移动 
同一 NTFS 分 区 继承 目的 地 文件 夹 的 权限 保留 原来 的 权限 
不 同 NTFS 分 区 继承 目的 地 文件 夹 的 权限 继承 目的 地 文件 夹 的 权限 
NTFS 分 区 一 FAT 分 区 权限 消失 权限 消失 
6. AGDLP 规则 


A 表示 用 户 账号 ,G 表示 全 局 组 ,DL 表示 本 地 域 组 ,P 表示 资源 权限 。A-G-DL-P 策略 
是 将 用 户 账户 添加 到 全 局 组 中 ,将 全 局 组 添加 到 本 地 域 组 中 ,然后 为 本 地 域 组 分 配 资源 权 
限 。 其 作用 通过 如 下 实例 说 明 。 

网 络 系统 中 存在 两 个 域 stua 和 teacha, stua 域 中 的 用 户 (stu001 和 stu002) 和 teacha 域 中 
的 用 户 (teach001 和 teach002) 都 需要 访问 teacha 域 中 的 文件 夹 data。 设 置 的 方法 有 两 种 。 

方法 一 : 在 teacha 中 建 一 个 DL, 因 为 DL 的 成 员 可 以 来 自 所 有 的 域 ,然后 把 这 4 人 都 
加 入 这 个 DL, 并 把 data 的 访问 权限 赋 给 DL。 

这 样 设置 虽然 可 以 实现 访问 权限 要 求 。 但 存在 如 下 缺点 : DL 存在 于 teacha 域 中 ,其 管 
理 权 也 在 teacha 域 ,如 果 stua 域 中 还 有 其 他 人 需要 访问 data, stua 域 管理 员 是 无 权 做 修改 
的 ,只 能 通知 teacha 域 管理 员 ,让 他 对 DL 的 成 员 做 修改 。 如 果 需 要 访问 data 的 域 有 3 个 
甚至 更 多 ,怎么 办 ? 全 部 修改 都 要 由 teacha 域 管理 员 来 完成 ,这 种 设置 太 麻 烦 了 。 

方法 二 : 在 stua 和 teacha 域 中 都 各 建立 一 个 全 局 组 (Gstu 和 Gteach) ,stua 域 管理 员 
将 stu001 和 stu002 加 入 Gstu,teacha 域 管理 员 将 teach001 和 teach002 加 入 Gteach, 然 后 
在 teacha 域 中 建立 一 个 DL, 把 这 两 个 全 局 组 都 加 入 teacha 域 中 的 DL 中 ,然后 把 data 的 访 
问 权 赋 给 DL。 

这 样 ,通过 组 的 权限 继承 ,两 个 全 局 组 都 有 权限 访问 文件 夹 data 了 。 由 于 两 个 全 局 组 
分 布 在 stua 和 teacha 域 中 ,因此 , 域 管理 员 可 以 分 别管 理 自己 的 全 局 组 。 以 后 有 任何 修改 ， 
都 可 以 自己 设置 ,不 用 麻烦 teacha 域 的 管理 员 了 。 


9.2 NTFS 权限 设置 


设置 NTFS 权限 就 是 对 文件 或 文件 夹 设置 用 户 访问 的 权限 ,包括 设置 文件 权限 .设置 
文件 夹 权限 .设置 NTFS 特殊 权限 .拒绝 继承 权限 .强迫 继承 权限 等 。 


9.2.1 设置 文件 夹 的 NTFS 权限 


对 于 指定 的 文件 夹 ,只 有 其 拥有 者 、 管 理 员 和 有 完全 控制 权限 的 用 户 才 可 以 设置 其 
NTFS 权限 。 下 面 通过 实例 说 明 这 样 的 用 户 怎样 将 该 文件 夹 的 相关 权限 赋予 其 他 用 户 。 例 
如 设置 stua 组 的 用 户 stu001 对 文件 夹 C:\Tools 拥有 * 写 入 ”权限 。 详 细 操作 步骤 如 下 : 

(1) 以 Administrator 账户 登录 系统 (建议 采用 Windows Server 2003 R2 EnterPrise 
Edition) ,在 teach. com 域 中 建立 两 个 用 户 账户 (如 stu001 和 stu002) 和 一 个 组 (如 stua) , 设 


置 这 两 个 账户 隶属 于 stua 组 。 在 Tools 文件 夹 上 右 击 ,在 弹出 的 快捷 菜单 中 选择 [属性 ] 命 
令 , 在 打开 的 [Tools 属性 ] 对 话 框 中 选择 【安全 选项 卡 ( 图 9-2) 。 

(2) 单 击 [添加 了 按钮 ,打开 【选择 用 户 、 计 算 机 或 组 】 对 话 框 , 单 击 [ 高 级 了 按钮 ,在 打开 的 
对 话 框 中 单 击 【立即 查找 了 按钮 (图 9-3) ,在 搜索 结果 文本 框 中 找到 用 户 stu001 ,选择 该 用 户 
(图 9-4) , 单 击 [确定 按钮 ,选择 的 用 户 名 stu001 出 现在 【输入 对 象 名 称 来 选择 ] 列 表 框 中 
(图 9-5) 。 


选择 用 户 、 计 算 机 或 组 
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(3) 单 击 【确定 了 按钮 ,返回 【Tools 属性 】 对 话 框 , 在 【stu001 的 权限 】 列 表 框 中 选中 “ 写 
入 ”选项 对 应 的 [允许 ] 复 选 框 (图 9-6) , 单 击 [ 确 定 ] 按 钮 。 完 成 权限 的 设置 。 


选择 用 户 、 计 算 机 或 组 下 区 
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图 9-6 【stu001 的 权限 ] 列 表 框 


(4) 注销 Administrator 账户 ,以 stu001 账户 登录 系统 ,在 文件 夹 C:\Tools 中 新 建文 
件 , 验 证 设置 是 否 成 功 。 在 文件 夹 C:\Tools\remain 中 新 建文 件 , 验 证 权限 的 继承 。 


9.2.2 设置 文件 的 NTFS 权限 


对 于 指定 的 文件 ,只 有 其 拥有 者 、 管 理 员 和 有 完全 控制 权限 的 用 户 才 可 以 设置 其 NTFS 


权限 。 例 如 设置 stua 组 的 用 户 stu002 对 C:\ 
Tools\mylx. txt 文件 拥有 “修改 ”权限 。 详 细 
操作 步骤 如 下 : 

(1) 以 Administrator 账户 登录 系统 ( 建 
议 采 用 Windows Server 2003 R2 EnterPrise 
Edition) 。 在 mylx. txt 文件 上 右 击 ,在 弹出 的 
快捷 菜单 中 选择 [属性 命令 ,在 打开 的 对 话 框 
中 选择 【安全 】 选 项 卡 (图 9-7) 。 

(2) 单 击 [添加 按钮 ,打开 【选择 用 户 、 计 
算 机 或 组 了 对 话 框 。 单 击 【 高 级 按钮 ,在 打开 
的 对 话 框 中 单 击 【立即 查找 了 按钮 (图 9-3) ,在 
搜索 结果 文本 框 中 找到 用 户 stu002 ,选择 该 用 
户 。 单 击 【 确 定 了 按钮 ,选择 的 用 户 名 stu002 
出 现在 【输入 对 象 名 称 来 选择 了 列表 框 中 
(图 9-8) 。 


可 可 
富 规 安全 3 村 | 

姐 或 用 户 名 称 G): 

@ :tu001 (stupol@teach con) 

ss 

Users OEACH\Vsers) 


Adaninistrators 的 权限 下) 


日 口 口 口 口 口 悦 


日 


特别 权限 或 高 级 设置 ， 请 单 击 “ 高 级 ”。 


高 级 凶 ) 


图 9-7 【mylx. txt 属性 了 对 话 框 的 [安全 选项 卡 
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(3) 单 击 【确定 ] 按 钮 ,返回 【Tools 属性 了 对 话 框 ,在 【stu002 的 权限 列表 框 中 选中 “ 修 
改 ” 选 项 对 应 的 [允许 ] 复 选 框 (图 9-9) , 单 击 【 确 定 ] 按 钮 。 完 成 权限 的 设置 。 


Aninistrators (EACH\Adninistrators) 
@ :tan0l (stuD0leteach com) 

@ :tun0z (stun028teach con) 

srstm 

BUsers TEACH\Users) 


选择 对 象 类 型 GE) 
网 PR 于 类 型 .| 
查找 位 置 ED) 
[EE | 
输入 对 象 名 称 来 选择 示例 ) 到 ) 
4 tuD02B@t， qm 检查 名 称 C) 
ww |_w | 
图 9-8 stu002 出 现在 [输入 对 象 名称 来 选择 3 列表 框 中 图 9-9 【stu002 的 权限 3 列表 框 


(4) 注销 Administrator 账户 ,以 stu002 账户 登录 系统 ,对 C:\Tools\mylx. txt 文件 进 
行 修改 并 保存 ,以 验证 设置 是 否 成 功 。 


9.2.3 设置 NTFS 特殊 权限 


NTFS 特殊 权限 及 其 与 NTFS 标准 权限 的 关系 如 表 9-3 所 示 。 
在 特殊 权限 中 有 两 个 较 难 理解 的 权限 : 更 改 权 限 和 取得 所 有 权 。 


1. 更 改 权 限 


在 标准 NTFS 权限 中 ,只 有 “完全 控制 "权限 才 允 许 用 户 拥 有 更 改 文件 或 文件 夹 的 权 
限 ,但 是 ,“ 完 全 控制 "权限 同时 拥有 删除 子 文件 夹 或 文件 的 权限 。 如 果 要 赋予 一 个 用 户 更 改 
文件 或 文件 夹 的 权限 ,又 不 能 让 其 删除 子 文件 夹 和 文件 ,这 时 就 要 用 到 特殊 权限 中 的 “更 改 
权限 ”。 例 如 设置 用 户 stu002 对 文件 C:\Tools\mylx. txt 拥有 更 改 权 限 。 

详细 的 操作 步骤 是 : 以 Administrator 账户 登录 系统 (建议 采用 Windows Server 2003 
R2 EnterPrise Edition) 。 在 图 9-9 所 示 的 对 话 框 中 单 击 【高 级 按钮 ,在 打开 的 【mylx. txt 高 
级 安全 设置 】 对 话 框 的 [权限 项 目 ] 列 表 框 中 选择 用 户 stu002( 图 9-10) 。 然 后 单 击 【 编 辑 了 按 
钮 ,在 打开 的 Kmylx. txt 的 权限 项 目 了 对 话 框 的 【权限 】 列 表 框 中 选中 【更 改 权限 】 复 选 杠 
(图 9-11) 。 单 击 【 确 定 了 按钮 ,返回 上 一 级 对 话 框 , 多 次 单 击 【确定 ] 按 钮 ,直到 关闭 全 部 对 话 
框 。 完 成 权限 的 设置 。 
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[yl 的 识 级 安全 设置 D5 
相 限 “| 审核 | 所 有 者 | 有 效 权限 | | 
关 特殊 权 限 的 详细 信息 ， i; . 
要 查看 有 息 ,请 选择 一 个 入 限 项 目 ， 二 后 单 击 “ 扩 往 ” IT [GE | 


应 用 到 中) :| 到 总 袜 人 车 系 蕊 
权限 @): 


完全 控制 


ee 
Ee se late cj 妹 职 、 写 入 on 追 历 文件 夹 /运行 文件 
从 许 Vsers (TEACH\Wsers) 读 取 和 运行 Ci\Tools\ 光 出 文件/ 读 职 下 所 
读 职 属性 
读 取 扩展 尾 性 
也 于 文件 / 写 入 数据 
添加 @)，- 编辑 下 ) 出 除 凶 ) 外 陡 文 件 夹 /附加 数据 


厅 区 许 父 项 的 继承 权限 传播 天 该 对 象 和 所 有 子 对 象 。 包 括 那 些 在 此 明确 定义 的 项 目 (4)。 


写 入 属性 
写 入 扩展 属性 
开除 


回 口 回回 回回 回回 加 加 口 | 这 


读 取 权 限 


DoOoooooooooo 异 


a 了 问 司 
这 些 权 限 只 应 ] 个 容器 中 区 
可 ee i 容器 中 的 对 象 ” 全 部 清除 QL) 


图 9-10 【mylx. txt 高 级 安全 设置 3 对 话 框 图 9-11 【mylx. txt 的 权限 项 目 ] 对 话 框 


2. 取得 所 有 权 


由 于 各 种 指派 和 撤销 权限 操作 ,可 能 会 造成 所 有 用 户 ( 包 括 管理 员 ) 都 无 法 访问 某 个 文 
件 夹 或 文件 的 情况 。 这 时 就 要 用 到 特殊 权限 中 的 “取得 所 有 权 ”。 

默认 情况 下 ,文件 夹 或 文件 的 创建 者 ( 即 所 有 者 ) 拥 有 对 该 文件 夹 或 文件 的 所 有 权 。 取 
得 所 有 权 的 用 户 才能 够 指派 权限 。 取 得 所 有 权 有 以 下 两 种 方式 。 

。 文件 夹 或 文件 的 所 有 者 将 “取得 所 有 权 ” 赋 予 别 的 用 户 。 

。 管理 员 可 以 取得 所 有 权 ( 但 不 能 转让 所 有 权 给 别 的 用 户 )。 

如 何 让 管理 员 取 得 所 有 权 呢 ?以 取得 由 用 户 stu001 创建 的 C:\Tools\stu001_l1x. txt 
文件 的 所 有 权 为 例 。 详 细 步 又 说 明 如 下 : 

(1) 以 Administrator 账户 登录 系统 。 在 C:\Tools\stu001_lx. txt 上 右 击 ,在 弹出 的 快 
捷 菜 单 中 选择 [属性 3 命令 ,在 打开 的 对 话 框 中 选择 【安全 】 选 项 卡 。 

(2) 单 击 【 高 级 了 按钮 ,在 打开 的 【stu001_1x. txt 的 高 级 安全 设置 ] 对 话 框 中 选择 【所 有 
者 】 选 项 卡 ,可 以 看 到 【目前 该 项 目的 所 有 者 ] 文 本 框 中 显示 的 所 有 者 为 stu001。 在 【将 所 有 
者 更 改 为 ] 列 表 框 中 选择 Administrators( 图 9-12), 单 击 【 确 定 ] 按 钮 。 返 回 上 一 级 对 话 框 ， 
单 击 【 确 定 ] 按 钮 ,关闭 所 有 对 话 框 。 即 完成 权限 设置 。 

(3) 重新 查看 该 文件 属性 ,按照 上 述 相同 的 步骤 操作 ,在 打开 的 【stu001_1x. txt 的 高 级 
安全 设置 ] 对 话 框 中 选择 【所 有 者 】 选 项 卡 ,可 以 看 到 【目前 该 项 目的 所 有 者 ] 文 本 框 中 显示 的 
所 有 者 为 Administrators( 图 9-13)。 说 明 Administrators 成 功 地 取得 了 该 文件 的 所 有 权 。 


9.2.4 拒绝 继承 权限 和 强制 继承 权限 


父 文件 夹 拥 有 的 权限 默认 被 子 文件 夹 及 包含 在 父 文件 夹 中 的 其 他 文件 继承 。 当 用 户 修 
改 某 文件 夹 的 权限 时 ,同时 也 改变 了 该 文件 夹 包 含 的 子 文件 夹 和 文件 的 权限 。 
Ey 


@ Administrator (TEACH\Adninistrator) 


9-13 ”所 有 权 改 变 后 的 [stu001_lx. txt 的 高 级 安全 设置 ] 对 话 框 


1. 拒绝 继承 权限 


如 果 不 想 继承 父 文件 夹 的 权限 ,可 以 通过 下 面 的 操作 实现 。 例 如 拒绝 文件 夹 C:\Tools\ 
remain 继承 C:\Tools 的 权限 。 详 细 操作 步骤 如 下 : 

(1) 以 Administrator 账户 登录 , 右 击 C:\Tools\remain 文件 夹 , 在 打开 的 【remain 属 
性 对 话 框 中 ,选择 [安全 选项 卡 。 单 击 【 高 级 了 按钮 ,打开 【remain 的 高 级 安全 设置 对话 框 
(图 9-14) ,取消 默认 选中 的 【允许 父 项 的 继承 权限 传播 到 该 对 象 和 所 有 子 对 象 。 包 括 那 些 
在 此 明确 定义 的 项 目 ] 复 选 框 。 
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CREATOR OWNER 3 
stu001 (stuDol8... 读 ] 


SISTEN 
Vsers (TEACH\Us... 
Vsers (TEACH\Us... 


图 9-14 【remain 的 高 级 安全 设置 ] 对 话 框 


(2) 弹出 【安全 对 话 框 , 单 击 [ 删 除了] 按钮。 返回 上 一 级 对 话 框 , 可 以 看 到 【权限 项 目 了 文 
本 框 中 所 有 继承 的 权限 全 部 被 清空 (图 9-15) 。 


9-15 【安全 ] 对 话 框 
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(3) 此 时 ,切记 要 单 击 【添加 了 按钮 ,然后 参考 前 面 的 “设置 文件 夹 的 NTFS 权限 ?步骤 ， 
添加 一 些 用 户 对 该 文件 夹 的 访问 权限 (例如 ,添加 Administrator 账户 对 其 拥有 “完全 控制 ” 
权限 )。 否 则 没有 人 能 访问 它 , 只 有 所 有 者 才能 更 改 权 限 。 

(4) 注销 Administrator 账户 ,以 stu001 账户 登录 ,验证 该 账户 是 否 拥 有 对 文件 夹 C:\ 
Tools\remain 的 写 人 权限 。 

提示 : 根据 前 面 的 权限 设置 ,stu001 账户 拥有 对 文件 来 C:\Tools 的 写 入 权限 , 根 
据 权 限 继承 原则 ,该 账户 也 拥有 对 文件 夹 C:\Tools\remain 的 写 入 权限 。 但 是 ,通过 拒绝 继 
承 权限 设置 ,只 有 Administrator 账户 拥有 对 文件 夹 C:\Tools\remain 的 访问 权限 。 因 此 ， 
stu001 账户 无 法 对 该 文件 夹 进行 任何 访问 操作 。 


2. 强制 继承 权限 


如 果 要 强制 下 级 继承 权限 ,可 以 通过 下 面 的 操作 实现 。 例 如 强制 文件 夹 C:\Tools 的 
子 文件 夹 及 文件 继承 C:\Tools 的 权限 。 详 细 步 又 如 下 : 

(1) 以 Administrator 账户 登录 ,参考 前 面 的 步骤 , 单 击 图 9-2 对 话 框 中 的 [高 级 按钮 ， 
打开 【Tools 的 高 级 安全 设置 3 对 话 框 , 选 民用 在 此 显示 的 可 以 应 用 到 子 对 象 的 项 目 替 代 所 
有 子 对 象 的 权限 项 目 复 选 框 (图 9-16) 。 


Tools 的 高 级 安全 设置 


权限 “| 审核 | 所 有 者 | 有 效 权限 | 
要 查看 有 关 特 殊 权 限 的 洋 细 信息 ， 请 寺 挥 一 个 权限 项 目 ， 外 后 单 击 “ 编 缉 ”。 


Mimini tr etors 

CREATOR OWNER 

stu001 (stu0018 
STEN 


Vsers (TEACH\Us. 
Vsers (TEACH\Us. 


图 9-16 【Tools 的 高 级 安全 设置 对话 框 


(2) 单 击 【确定 ] 按 钮 ,弹出 [安全] 对 话 框 (图 9-17) ,提示 该 操作 将 删除 子 对 象 的 明确 定 
义 过 的 权限 ( 即 强制 下 级 继承 ,删除 下 级 原来 的 权限 ), 单 击 【是 3 按钮 。 返回 上 一 级 对 话 框 ， 
单 击 [ 确 定 ] 按 钮 ,关闭 所 有 对 话 框 ,完成 强制 继承 权限 。 


图 9-17 【安全 对 话 框 
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(3) 验证 。 参 考 前 面 的 步骤 ,重新 打开 【remain 的 高 级 安全 设置 对话 框 ,发 现 其 [权限 
项 目 】 文 本 框 中 的 设置 恢复 到 拒绝 继承 权限 之 前 的 设置 (图 9-14) ,说 明 该 文件 夹 被 强制 继 
承 权 限 了 。 为 了 进一步 验证 ,可 以 再 次 以 stu001 账户 登录 ,验证 该 账户 是 否 拥 有 对 文件 夹 
C:\Tools\remain 的 写 人 权限 。 


巷 注 意 : 设置 文件 夹 C:\Tools\remain 拒绝 继承 权限 ,然后 设置 其 父 文件 夹 C:\ 
Tools 强制 下 级 继承 权限 , 则 文件 C:\Tools\remain 原来 设置 的 拒绝 权限 失效 ,继承 其 父 
文件 夹 的 权限 , 即 后 来 设置 的 权限 履 盖 前 面 设置 的 权限 。 反 之 , 先 设 置 强制 继承 权限 ,再 
设置 拒绝 权限 , 则 拒绝 继承 权限 履 盖 强制 继承 权限 。 


9.3 利用 AGDLP 规则 设置 NTFS 权限 


9.3.1 案例 背景 及 方案 设计 


1. 案例 背景 


某 公司 的 信息 处 (2 人 ) 和 销售 处 (3 人 ) 人 员 需 要 对 alldata 文件 夹 有 读 取 和 写 入 的 权 
限 , 而 其 他 处 室 人 员 对 该 文件 夹 只 有 读 取 的 权限 。 

2. 方案 设计 

根据 公司 要 求 , 设 计 方案 如 下 。 

(1) 在 安装 Windows Server 2003 R2 EnterPrise Edition 操作 系统 的 计算 机 上 进行 下 
面 的 权限 设置 操作 。 

(2) 创建 2 个 全 局 组 和 1 个 本 地 域 组 。 

(3) 每 个 全 局 组 中 按 人 员 数 创建 用 户 账户 。 

(4) 将 2 个 全 局 组 加 入 本 地 域 组 ( 设 名 为 loca) 。 

(5) 为 本 地 域 组 设置 对 alldata 文件 夹 的 读 取 和 写 人 权限 。 

(6) 创建 其 他 组 用 户 账户 ,设置 对 alldata 文件 夹 的 读 取 权限 。 

(7) 全 局 组 .其 他 组 及 相应 用 户 账户 设置 如 表 9-5 所 示 。 


表 9-5 全 局 组 、 其 他 组 及 相应 用 户 账户 设置 


全 局 组 名 称 用 户 账户 名 称 对 文件 夹 alldata 拥有 的 权限 
info info001 ,info002 读 取 和 写 入 
sale sale001 ,sale002 ,sale003 读 取 和 写 入 
other other001 .other002 读 取 


9.3.2 NTFS 权限 设置 步骤 


(1) 根据 表 9-5 创建 全 局 组 (info 和 sale) 及 相关 用 户 账户 ,并 将 相关 用 户 加 入 各 全 


Ey 
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局 组 。 
(2) 创建 本 地 域 组 (loca) ,并 将 全 局 组 (info 和 sale) 加 入 本 地 域 组 。 结 果 大 致 如 图 9-18 
所 示 。 


Directory 用 户 和 计算 机 


志文 件 加” 拧 作 如 ”查看 WD 窗口) 帮助 中 
4 消 | 因 | 四 | 关 |XX 困 区 | 包 困 | 涩 这 关 了 和 前 名 
hetive Direetory 


田 - 国 保存 的 查询 

四 区 | [型 [E33 1 
Biltin builtinDonain 

国 Conputers Default container fo 

国 Domain Control Default contsiner fo 


PoreigSecurit. Default container fo 


Default container fo 


[ 


图 9-18 【Active Directory 用 户 和 计算 机 】 和 窗口 


(3) 创建 其 他 组 (other) ,并 将 其 他 用 户 加 入 该 组 。 

(4) 为 本 地 域 组 (loca) 设 置 对 alldata 文件 夹 的 读 取 和 写 人 权限 。 详 细 步 又 参考 9. 2. 1 
小 节 , 结 果 如 图 9-19 所 示 。 

(5) 为 其 他 组 (other) 设 置 对 alldata 文件 夹 的 读 取 权限 。 详 细 步 又 参考 9. 2. 1 小 节 , 结 
果 如 图 9-20 所 示 。 


可 可 本 到 
第 规 | 共享 ”安全 | 自 定义 | 窜 规 | 共享 ”安全 | 定义 | 
姐 或 用 户 名 称 (@); 姐 或 用 户 名 称 @); 
BEveryone 2 BCREATOR OnER 
CH\loe Everyone 
给 srsTEn Blocs 0EAcruocu 目 
BUsers GEACHNUsers) 
4 a 
添加 他... 删除 到) 
1ocs 的 权限 于) 允许 拒绝 
完全 控制 口 口 于 
修改 口 口 
读 取 和 运行 回 口 
列 出 文件 夹 目录 回 口 列 出 文件 夹 目录 
读 取 回 口 读 取 
写 入 El 到 写 入 
上 guwtnpml 一 m 由 soonpg 


特别 直 限 或 高 级 设置 ， 请 单 击 “ 高 级 ”。 高 级 四 


图 9-19 【alldata 属性 了 对话 框 的 loca 的 权限 


HA 


N(310) 


图 9-20 【alldata 属性 对 话 框 的 other 的 权限 
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9.4 本 地 安全 策略 


本 地 安全 策略 是 Windows 2000/XP/Server 2003 系统 自 带 的 系统 安全 管理 工具 ,通过 
设置 本 地 安全 策略 可 以 大 大 提高 系统 的 安全 性 。 本 地 安全 策略 主要 包括 账户 策略 和 本 地 策 
略 。 如 果 将 一 台 服 务 器 升级 为 域 控制 器 (安装 了 AD) , 则 在 域 控制 器 中 ,本 地 安全 策略 被 域 
控制 器 安全 策略 代替 ,同时 增加 了 可 以 控制 整个 域 安 全 的 域 安 全 策略 。 


9.4.1 账户 策略 


用 户 账户 的 安全 主要 通过 设置 密码 进行 保护 。 为 了 避免 用 户 身份 由 于 密码 被 破解 而 被 
夺取 或 盗用 ,通常 可 采取 如 提高 密码 的 破解 难度 .启用 账户 锁定 策略 .限制 用 户 登录 限制 外 
部 连接 以 及 防范 网 络 嗅 探 等 措施 。 

账户 策略 中 包括 了 密码 策略 和 用 账 锁定 策略 。 


1. 密码 策略 


密码 策略 通过 强制 提高 密码 复杂 性 \、 增 大 密码 长 度 、 提 高 更 换 频 率 等 措施 来 提高 密码 的 
破解 难度 。 包 括 如 下 6 个 策略 : 密码 必须 符合 复杂 性 要 求 ,密码 长 度 最 小 值 .密码 最 长 使 用 
期 限 、 密 码 最 短 使 用 期 限 ,强制 密码 历史 ,用 可 还 原 的 加 密 来 存储 密码 。 

设置 密码 策略 的 方法 如 下 : 选择 【开始 】 代 程序 ] 代 管理 工具 ] 人 本 地 安全 策略 了 命令 , 打 
开 【 本 地 安全 设置 3 窗口 (图 9-21) ,在 左 侧 窗 口 的 目录 树 中 ,选择 【账户 策略 ] 人 密码 策略 ] 选 
项 ,打开 如 图 9-22 所 示 的 【密码 策略 了 属性 窗口 ,在 右 侧 详细 信息 列表 窗 格 中 显示 可 配置 的 
密码 策略 选项 的 当前 配置 。 因 为 各 策略 选项 的 配置 方法 基本 一 样 , 所 以 在 此 仅 以 第 一 个 选 
项 的 配置 进行 介绍 ,其 他 只 对 各 选项 的 具体 作用 进行 简单 介绍 。 


文件 人 E) 操作 查看 WW 帮助 0D 
“小 || 四 |X 妃 | 久 田 


EE 
密码 和 账户 锁定 策略 
审核 、 用 户 权 利和 安全 选项 策略 


Internet 协议 安全 性 0Psec) 管 : 


图 9-21 【本 地 安全 设置 了 窗口 


苞 注 意 : 如 果 在 [开始 】 人 程序 ] 选 项 中 没有 找到 【管理 工具 选项 ,可 以 通过 【控制 面 


板 】 打 开 【 管 理工 具 】 选 项 。 


图 9-22 【密码 策略 了 属性 窗口 


(1) 密码 必须 符合 复杂 性 要 求 。 此 策略 确定 密码 是 否 必须 符合 一 系列 被 认为 是 对 于 强 
密码 来 说 很 重要 的 规则 。 默 认 情 况 下 ,该 策略 在 域 控制 器 上 启用 ,在 独立 服务 器 上 禁用 。 

配置 方法 是 : 在 如 图 9-22 所 示 的 右 侧 详细 信息 列表 窗 格 中 ,双击 【密码 必须 符合 复杂 
性 要 求 〗 选 项 ,打开 [密码 必须 符合 复杂 性 要 求 属性 对话 框 (图 9-23)。 在 默认 选择 的 【本 地 
安全 设置 选项 卡 中 ,通过 选择 [已 启用 了 或 [已 禁用 了 单 选 按钮 ,启用 或 禁用 该 策略 。 关 于 该 
策略 的 详细 解释 ,可 以 通过 选择 [解释 这 个 设置 3 选项 卡 进行 查看 (图 9-24) 。 


图 9-23 【本 地 安全 设置 ] 选 项 卡 图 9-24 【解释 这 个 设置 ] 选 项 卡 


如 果 启 用 此 策略 设置 ,密码 必须 符合 以 下 要 求 。 
。 密码 长 度 至 少 有 6 个 字符 。 
。 密码 包含 下 列 四 类 字符 中 的 三 类 : 大 写字 符 (A`.B、`C\、…); 小 写字 符 (a\b、c\…); 数 


> 第 9 章 ” Windows Server 2003 安 全 配置 


字 (0、1、2、3、4、5、6、7、8、9); 非 字母 数字 字符 和 Unicode 字符 (()` 一 !@#$% 
-& xx 一 二 = 一 NI]: < 二 >，.?/6TFN 以 及 空格 ) 


苞 注 意 : 如 果 启用 了 此 安全 策略 , 当 所 配置 的 用 户 密 码 不 符合 此 配置 要 求 时 系统 会 
提示 错误 。 通 常人 们 设置 密码 只 用 数字 和 字母 ,没有 考虑 到 字母 的 大 小 写 或 者 非 字母 数 
字 字 符 , 达 不 到 复杂 性 要 求 。 更改 或 创建 密码 时 ,会 强制 执行 复杂 性 要 求 。 


(2) 密码 长 度 最 小 值 。 此 策略 设置 确定 用 户 账户 的 密码 必须 至 少 由 几 个 字符 构成 。 密 
码 长 度 最 小 值 的 数值 可 以 设置 在 1 一 14 之 间 ,或 者 将 字符 数 设置 为 0( 即 不 需要 密码 )。 默 
认 情 况 下 ,该 策略 在 域 控制 器 上 值 为 7, 在 独立 服务 器 上 值 为 0。 

(3) 密码 最 长 使 用 期 限 。 此 策略 设置 用 户 在 必须 更 改 密码 之 前 可 使 用 该 密码 的 天 数 。 
其 值 为 0 一 999 之 间 , 值 为 0 时 密码 永 不 过 期 ,但 不 建议 使 用 这 种 配置 。 

如 果 密 码 最 长 使 用 期 限 设 置 为 0, 则 密码 最 短 使 用 期 限 可 以 是 0 一 998 之 间 的 任意 值 。 
建议 设置 为 30 一 90 天 后 过 期 。 


苞 注 意 : 任何 密码 ,甚至 最 复杂 的 密码 ,都 可 能 会 被 有 足够 的 时 间 和 计算 机 处 理 能 
力 的 攻击 者 猜测 (或 者 “破译 ”) 出 来 。 下 列 某 些 策略 设置 可 使 密码 在 一 个 合理 的 时 间 段 内 
较 难 被 破译 。 如 果 经 常 要 求 用 户 更 改 其 密码 ,可 降低 有 效 密码 被 破译 的 风险 ,还 可 降低 以 
不 正当 手段 获取 密码 的 人 员 未 经 授权 登录 的 风险 。 使 密码 每 隔 30 一 90 天 过 期 一 次 是 一 
种 安全 最 佳 操作 。 


(4) 密码 最 短 使 用 期 限 。 该 策略 确定 在 允许 用 户 更 改 密码 之 前 必须 使 用 该 密码 的 天 数 。 
其 值 必 须 小 于 “密码 最 长 使 用 期 限 ” 值 。 可 以 设置 为 1~998 之 间 的 某 个 值 ,如 果 设 置 为 0, 则 人 允 
许 立即 更 改 密码 。 默 认 情 况 下 ,该 策略 在 域 控制 器 上 设置 为 1, 在 独立 服务 器 上 设置 为 0。 

(5) 强制 密码 历史 。 通 过 设置 该 策略 确保 旧 密 码 不 能 继续 使 用 ,从 而 增强 安全 性 。 默 
认 情 况 下 ,该 策略 在 域 控制 器 上 设置 为 24. 在 独立 服务 器 上 设置 为 0。 


苞 注 意 : 密码 重用 对 于 任何 组 织 来 说 都 是 需要 考虑 的 重要 问题 。 许 多 用 户 都 希望 
在 很 长 时 间 以 后 使 用 或 重用 相同 的 账户 密码 。 特 定 账户 使 用 相同 密码 的 时 间 越 长 ,攻击 
者 能 够 通过 强力 攻击 确定 密码 的 机 会 就 越 大 。 此 外 ,任何 可 能 已 被 破坏 的 账户 ,只 要 其 密 
码 没有 更 改 , 就 将 一 直 可 被 利用 。 如 果 要 求 更 改 密码 但 仍 在 重用 密码 ,或 者 用 户 不 断 重 用 
少数 几 个 密码 , 则 好 的 密码 策略 的 有 效 性 将 会 大 大 降低 。 


(6) 用 可 还 原 的 加 密 来 存储 密码 。 此 策略 确定 在 存储 密码 时 是 否 使 用 可 还 原 的 加 密 来 
存储 密码 ,默认 设置 为 禁用 。 

如 果 组 织 通 过 远程 访问 或 Internet 身份 认证 服务 (Internet Authentication Service， 
IAS) 使 用 身份 验证 协议 (Challenge Handshake Authentication Protocol,CHAP) ,或 在 IIS 
中 使 用 摘要 式 身 份 验证 , 则 必须 将 此 策略 设置 为 “已 启用 ”。 将 此 设置 逐个 用 户 应 用 到 组 策 
略 是 异常 危险 的 ,因为 它 需 要 相应 用 户 账户 对 象 在 Microsoft 管理 控制 台 (MMC) Active 
Directory 用 户 和 计算 机 管理 单元 中 打开 。 


苞 注 意 : 请 永远 不 要 启用 此 策略 设置 ,除非 业务 要 求 比 保护 密码 信息 更 为 重要 。 
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2. 账户 锁定 策略 


账户 锁定 策略 是 指 在 某 些 情况 下 (如 账户 受到 采用 密码 词典 或 暴力 破解 方式 的 在 线 自 
动 登录 攻击 等 ) ,为 确保 该 账户 的 安全 而 将 此 账户 进行 锁定 ,使 其 在 一 定时 间 内 不 能 再 次 使 
用 此 账户 ,从 而 挫败 连续 的 猜 解 尝试 。 包 含 三 个 策略 : 账户 锁定 阔 值 .账户 锁定 时 间 、 复 位 
账户 锁定 计数 器 。 

在 如 图 9-21 所 示 的 左 侧 窗口 的 目录 树 中 ,选择 【账户 策略 M【 账 户 锁 定 策略 3 选项 
(图 9-25) ,参照 (1) 即 可 对 相应 策略 进行 设置 。 各 策略 含义 如 下 : 

(1) 账户 锁定 阔 值 。 该 策略 设置 确定 导致 用 户 账 户 被 锁定 的 登录 失败 尝试 次 数 。 在 管 
理 员 手 动 解锁 或 账户 锁定 时 间 到 达 之 前 ,不 能 使 用 已 锁定 的 账户 。 登 录 失 败 尝试 次 数 范围 
为 0 一 999 之 间 。 如 果 设 置 为 0 ,将 永 不 锁定 账户 , 则 账户 锁定 时 间 和 复位 账户 锁定 计数 器 
安全 设置 显示 为 “不 适用 ”, 即 不 用 设置 (图 9-25) 。 默 认 设置 为 0。 


苞 注 意 :“ 账 户 锁定 策略 ”在 策略 默认 状态 下 是 被 禁用 的 ,从 网 络 安全 角度 考虑 ,为 
防止 黑客 的 恶意 攻击 ,建议 并 启用 该 策略 ,并 进行 合理 设置 ,建议 “账户 锁定 阅 值 ”为 3。 


(2) 账户 锁定 时 间 。 该 策略 在 账户 锁定 阅 值 设置 不 为 0 时 启用 。 账 户 锁定 时 间 指 无 效 
登录 次 数 达 到 账户 锁定 阅 值 时 ,锁定 账户 的 时 间 , 范 围 为 0~~99999 分 钟 。 如 果 将 “账户 锁定 
时 间 ? 设 置 为 0, 则 账户 一 直 保 持 锁定 状态 ,直到 管理 员 手 动 将 其 解锁 .“ 上 账户 锁 定时 间 ” 必 
须 大 于 或 等 于 复位 时 间 。 

(3) 复位 账户 锁定 计数 器 。 该 策略 在 账户 锁定 阔 值 设置 不 为 0 时 启用 。 复 位 账户 锁定 
计数 器 指 在 无 效 登 录 次 数 未 达到 账户 锁定 阔 值 之 前 ,重新 复位 登录 次 数 需 要 的 时 间 ,范围 为 
0 一 99 999 分 钟 。 如 果 设 置 为 0, 则 账户 一 直 保 持 锁定 状态 ,直到 管理 员 手动 将 其 解锁 。 


由 -加 软件 限制 策略 
由 轧 I 安全 策略 ,在 本 地 计生 


图 9-25 【账户 锁定 策略 ] 属 性 窗口 


9.4.2 本 地 策略 


本 地 策略 包括 审核 策略 ,用户 权限 分 配 和 安全 选项 。 
1. 审核 策略 
系统 审核 机 制 可 以 对 系统 中 的 各 类 事件 进行 跟踪 记录 并 写 入 日志 文件 ,以 供 管理 员 进 


行 分 析 、 查 找 系统 和 应 用 程序 故障 及 各 类 安全 事件 。 包 括 以 下 九 个 策略 选项 : 审核 账户 登 
录 事 件 、 审 核 策略 更 改 、 审 核 登 录 事件 .审核 对 象 访问 、 审 核 过 程 跟踪 、 审 核 目录 服务 访问 、 审 
核 特权 使 用 .审核 系 统 事件 .审核 账 户 管理 。 

设置 审核 策略 的 方法 如 下 : 在 如 图 9-21 所 示 的 左 侧 窗口 的 目录 树 中 ,选择 [本 地 策略 了 
【审核 策略 选项 ,打开 如 图 9-26 所 示 的 【审核 策略 ] 属 性 窗口 ,在 右 侧 详细 信息 列表 窗 格 中 显 
示 可 配置 的 审核 策略 选项 的 当前 配置 。 因 为 各 策略 选项 的 配置 方法 基本 一 样 , 所 以 在 此 仅 以 
【审核 账户 登录 事件 选项 的 配置 进行 介绍 ,其 他 只 对 各 选项 的 具体 作用 进行 简单 介绍 。 


图 9-26 【审核 策略 了 属性 窗口 


(1) 审核 账户 登录 事件 。 该 策略 确定 是 否 审核 当 系统 验证 账户 身份 时 ,用 户 登 录 或 注销 
的 每 个 事件 。 在 本 地 计算 机 上 对 本 地 用 户 进行 身份 验证 时 ,该 事件 记录 在 本 地 安全 日 志 中 。 

在 如 图 9-26 所 示 的 右 侧 详细 信息 列表 窗 格 中 ,双击 【审核 账户 登录 事件 选项 ,在 默认 
打开 的 【审核 账户 登录 事件 属性 对话 框 的 【本 地 安全 设置 ?选项 卡 中 ,可 以 选中 [成 功 ] 和 
【失败 ] 复 选 框 (图 9-27)。 那 么 当 某 个 账户 登录 成 功 或 失败 时 ,将 产生 成 功 或 失败 审核 项 。 
也 可 以 不 选择 ,将 不 对 该 事件 进行 相应 的 审核 。 默 认 设置 为 审核 成 功 。 关 于 该 策略 的 详细 
解释 可 以 通过 选择 【解释 这 个 设置 选项 卡 进行 查看 。 


审核 账户 登录 事件 尾 性 


图 9-27 【本 地 安全 设置 选项 卡 
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(2) 审核 策略 更 改 。 该 策略 确定 是 否 对 用 户 权 限 分 配 策略 、 审 核 策略 或 信任 策略 更 改 
的 每 一 个 事件 进行 成 功 或 失败 审核 。 默认 情况 下 ,在 域 控制 器 上 设置 为 “成 功 ”, 在 成 员 服 务 
器 上 设置 为 “无 审核 ”。 

(3) 审核 登录 事件 。 该 策略 确定 是 否 对 每 一 个 登录 或 注销 计算 机 的 用 户 事件 进行 成 功 
或 失败 审核 。 默 认 设置 为 审核 成 功 。 

(4) 审核 对 象 访问 。 该 策略 确定 是 否 对 用 户 访问 某 个 对 象 (如 文件 ,文件 夹 . 注 册 表 项 、 
打印 机 等 ,它们 都 有 自己 特定 的 SACL) 的 事件 进行 成 功 或 失败 审核 。 默 认 设置 为 无 审核 。 

(5) 审核 过 程 跟踪 。 该 策略 确定 是 否 对 事件 (如 程序 激活 、 进 程 退 出 ` 句 柄 复制 和 间接 
对 象 访问 等 ) 的 详细 跟踪 信息 进行 成 功 或 失败 审核 。 默 认 设置 为 无 审核 。 

(6) 审核 目录 服务 访问 。 该 策略 确定 是 否 对 用 户 访问 那些 指定 自己 的 系统 访问 控制 列 
表 (System Access Control List,SACL) 的 Active Directory 对 象 的 事件 进行 成 功 或 失败 审 
核 。 默 认 情况 下 ,在 域 控制 器 上 设置 为 “成 功 ”, 在 成 员 服务 器 上 设置 为 “未 定义 ”。 

(7) 审核 特权 使 用 。 该 策略 确定 是 否 对 用 户 实施 其 用 户 权利 的 每 一 个 事件 进行 成 功 或 
失败 审核 。 默 认 设 置 为 无 审核 。 

(8) 审核 系统 事件 。 当 用 户 重 新 启动 或 关闭 计算 机 时 ,或 者 对 系统 安全 或 安全 日 志 有 
影响 的 事件 发 生 时 ,该 策略 确定 是 否 予 以 成 功 或 失败 审核 。 默 认 情况 下 ,在 域 控制 器 上 设置 
为 成功”, 在 成 员 服 务 器 上 设置 为 “无 审核 ”。 

(9) 审核 账户 管理 。 该 策略 确定 是 否 对 计算 机 上 的 每 个 账户 管理 事件 进行 成 功 或 失败 
审核 。 账 户 管理 事件 的 示例 包括 : 

。 创建 ,修改 或 删除 用 户 账户 或 组 。 

。 重 命 名 、 禁 用 或 启用 用 户 账户 。 

。 设置 或 修改 密码 。 

默认 情况 下 ,在 域 控制 器 上 设置 为 “成 功 ”, 在 成 员 服务 器 上 设置 为 “无 审核 ”。 


苞 注 意 : 推荐 的 审核 策略 为 : 账户 登录 事件 (进行 成 功 和 失败 审核 ); 账 户 管理 ( 进 行 
成 功 和 失败 审核 ) ;目录 服 务 访问 (只 进行 失败 审核 ); 登 录 事 件 ( 进 行 成 功 和 失败 审核 ); 对 
象 访问 (只 进行 失败 审核 ); 策 略 更 改 ( 进 行 成 功 和 失败 审核 ); 特 权 使 用 (只 进行 失败 审 
核 ); 系 统 事件 (进行 成 功 和 失败 审核 ) 。 


2. 用 户 权 限 分 配 


用 户 权限 是 允许 用 户 在 计算 机 系统 或 域 中 执行 的 任务 。 其 权限 选项 包括 从 网 络 访问 此 
计算 机 、 从 远程 系统 强制 关机 、 更 改 系统 时 间 、 关 闭 系统 ,拒绝 本 地 登录 ,拒绝 从 网 络 访问 这 
台 计 算 机 ,允许 在 本 地 登录 等 约 39 项 。 

在 图 9-21 所 示 的 左 侧 窗口 的 目录 树 中 ,选择 [本 地 策略 ME 用 户 权 限 分 配 〗 选 项 ,打开 如 
图 9-28 所 示 的 [用户 权限 分 配 ] 属 性 窗口 。 在 右 侧 详细 信息 列表 窗 格 中 显示 可 配置 的 安全 
选项 的 当前 配置 。 

下 面 只 对 几 个 常用 的 策略 选项 作 介 绍 ,其 他 策略 选项 可 以 根据 需要 参考 下 列 的 方法 进 
行 设置 。 

(1) 从 网 络 访问 此 计算 机 。 该 用 户 权 限 确定 允许 哪些 用 户 和 组 通过 网 络 连 接 到 该 计算 
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而 本 地 安全 设置 
文件 到 ) 操作 查看 帮助 0 
后 省 | 固 | 四 |X 本 | 国力 


[四 1， |[ 安 
风 备 份 文件 和 目录 Adninistrators, 


Adninistrators, 
Adninistrators 


Adninistrators, 
Everyone, Adnini 
Adninistrators 
Adninistrators 


IDCAL ed 
pe 


图 9-28 【用 户 权限 分 配属 性 窗口 


机 。 此 用 户 权限 不 影响 终端 服务 。 

在 如 图 9-28 所 示 的 右 侧 详细 信息 列表 窗 格 中 ,双击 【从 网 络 访问 此 计算 机 3 选项 ,打开 
【从 网 络 访问 此 计算 机 属性 对 话 框 。 文 本 框 _ 

[minatitsat EtE | 
中 显示 了 允许 通过 网 络 访问 该 计算 机 的 用 户 了 地 全 设 时 | 过 个 证 | 
或 组 (图 9-29)。 如 果 要 删除 一 些 用 户 或 组 ( 禁 
止 他 们 通过 网 络 访问 该 计算 机 ) ,可 以 先 选 择 
要 删除 的 用 户 或 组 ,然后 单 击 【删除 了 按钮 即 
可 。 如 果 需 要 添加 一 些 用 户 或 组 通过 网 络 访 
问 该 计算 机 , 则 单 击 【添加 用 户 或 组 了 按钮 , 然 
后 按 提示 操作 即 可 。 

人 ET 

释 这 人 设置 ] 选 项 卡 查看 。 人 名 

(2) 从 远程 系统 强制 关机 。 该 安全 设置 
确定 允许 哪些 用 户 从 网 络 上 的 远程 位 置 关 闭 
计算 机 。 误 用 此 用 户 权 限 会 导致 拒绝 服务 。 
设置 方法 参考 (1) 。 

(3) 管理 审核 和 安全 日 志 。 该 安全 设置 “图 9-29 【从 网 络 访问 此 计算 机 属性 ] 对 话 框 
确定 哪些 用 户 可 以 为 单独 的 资源 (如 文件 、 
Active Directory 对 象 和 注册 表 项 ) 指 定 对 象 访问 审核 选项 。 设 置 方法 参考 (1) 。 

(4) 允许 在 本 地 登录 。 该 登录 权限 确定 哪些 用 户 能 以 交互 方式 登录 到 该 计算 机 。 设 置 
方法 参考 (1) 。 


3. 安全 选项 


安全 选项 用 于 控制 一 些 与 操作 系统 安全 相关 的 设置 ,包括 设置 网 络 服务 器 、 网 络 用 户 、 
关机 、 交 互 式 登录 设备、 审计 、 网 络 安 全 、 网 络 访问 、 系 统 加 密 、 域 控制 器 、 账 户 等 约 64 个 策 
略 选项 。 

在 图 9-21 所 示 的 左 侧 窗口 的 目录 树 中 ,选择 [本 地 策略 MV【 安 全 选项 〗 选 项 ,打开 如 图 9-30 


9-30 【安全 选项 ] 属 性 窗口 


下 面 只 对 几 个 常用 的 策略 选项 作 介绍 ,其 他 策略 选项 可 以 根据 需要 参考 下 列 的 方法 进 
行 设置 。 

(1) 关机 : 允许 在 未 登录 前 关机 。 在 如 图 9-30 所 示 的 右 侧 详细 信息 列表 窗 格 中 ,双击 
【关机 : 允许 系统 在 未 登录 前 关机 选项 ,打开 【关机 : 允许 系统 在 未 登录 前 关机 属性 对 话 
框 (图 9-31) 。 在 默认 选择 的 [本 地 安全 设置 3 选项 卡 中 ,通过 选择 【已 启用 了 或 【已 禁用 了 单 选 
按钮 ,启用 或 禁用 该 策略 。 

(2) 交互 式 登录 : 用 户 试图 登录 时 消息 标题 。 在 如 图 9-30 所 示 的 右 侧 详细 信息 列表 窗 
格 中 ,双击 【交互 式 登录 : 用 户 试图 登录 时 消息 标题 3 选项 ,打开 如 图 9-32 所 示 的 对 话 框 。 
在 默认 打开 的 【本 地 安全 设置 选项 卡 的 文本 框 中 ,可 以 输入 用 户 登 录 时 出 现 的 消息 文本 窗 
口 的 标题 栏 中 显示 的 标题 说 明 。 默 认 设置 为 无 消息 。 


属性 了 本 3 用 户 试图 登录 时 消息 标题 尾 性 


图 9-31 【关机 :允许 系统 在 未 登录 前 图 9-32 【交互 式 登录 :用 户 试图 登录 时 
关机 属性 3] 对话 框 消息 标题 属性 ] 对 话 框 
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(3) 交互 式 登录 : 用 户 试 图 登录 时 消息 文字 。 在 如 图 9-30 所 示 的 右 侧 详细 信息 列表 窗 
格 中 ,双击 【交互 式 登 录 : 用 户 试图 登录 时 消息 文字 】 选 项 ,打开 如 图 9-33 所 示 的 对 话 框 。 
在 默认 打开 的 【本 地 安全 设置 3 选项 卡 的 文本 框 中 ,可 以 输入 用 户 登 录 时 出 现 的 消息 文本 窗 
口中 显示 的 文本 消息 。 默 认 设 置 为 无 消息 。 

(4) 交互 式 登录 : 在 密码 到 期 前 提示 用 户 更 改 密 码 。 在 如 图 9-30 所 示 的 右 侧 详细 信息 
列表 窗 格 中 ,双击 【交互 式 登录 : 在 密码 到 期 前 提示 用 户 更 改 密码 选项 ,打开 如 图 9-34 所 
示 的 对 话 框 。 在 默认 打开 的 【本 地 安全 设置 选项 卡 中 可 以 设置 提前 多 少 天 向 用 户 发 出 其 密 
码 过 期 的 警告 。 默 认 值 为 14 天。 


交互 式 登录 : 用 户 试图 登录 时 消息 交 字 尾 性 提示 用 户 更 改 密码 尾 性 


图 9-33 【交互 式 登录 :用 户 试图 登录 时 9-34 【交互 式 登录 :在 密码 到 期 前 提示 用 户 
消息 文字 属性 ] 对 话 框 更 改 密码 属性 ] 对 话 框 


9.5 本 地 安全 策略 的 应 用 


为 了 更 好 地 说 明 本 地 安全 策略 的 作用 ,下 面 分 别 介绍 账户 策略 设置 .用户 权限 分 配 设置 
和 安全 选项 设置 的 应 用 。 


9.5.1 账户 策略 设置 


本 地 安全 策略 的 账户 策略 设置 在 独立 的 计算 机 上 进行 设置 ,如 果 要 设置 账户 的 密码 长 
度 最 小 为 10 ,账户 如 果 连 续 3 次 输 错 密码 就 会 被 锁定 。 步 又 如 下 : 

(1) 以 Administrator 账户 登录 系统 (建议 采用 Windows Server 2003 R2 EnterPrise 
Edition) ,选择 [开始 人 程序 ] 人 管理 工具 了 人 K 本 地 安全 策略 】 命 令 , 打 开 【 本 地 安全 设置 】 窗 
口 (图 9-21) ,在 左 侧 窗口 的 目录 树 中 ,选择 【账户 策略 【密码 策略 〗 选 项 ,打开 如 图 9-22 所 
示 的 【密码 策略 了 属性 窗口 。 


到 


(2) 在 右 侧 详细 信息 列表 窗 格 中 双击 【密码 长 度 最 小 值 ] 选 项 ,打开 【密码 长 度 最 小 值 
属性 对 话 框 ,在 文本 框 中 输入 10( 图 9-35) 。 单 击 【 确 定 ] 按 钮 。 


密码 长 度 最 小 值 尾 性 


[ss 


EE 


图 9-35 【密码 长 度 最 小 值 属性 对话 框 


(3) 在 左 侧 窗 口 的 目录 树 中 选择 【账户 锁定 策略 3 选项 ,在 右 侧 详细 信息 列表 窗 格 中 双 
击 【账户 锁定 阔 值 3 选项 ,打开 【账户 锁定 阔 值 属性 ] 对 话 框 ,在 文本 框 中 输入 3。 单 击 [ 确 定 】 
按钮 后 ,会 弹出 【建议 的 数值 改动 ] 对 话 框 (图 9-36), 单 击 【 确 定 ] 按 钮 即 可 完成 。 


户 锐 定 周 值 尾 性 


图 9-36 【账户 锁定 阅 值 属性 ] 对 话 框 


(4) 选择 [开始 【运行 ] 命 令 ,在 打开 的 [运行 ] 对 话 框 中 输入 gpupdate 命令 (图 9-37)， 
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单 击 【确定 了 按钮 ,刷新 本 计算 机 的 本 地 安全 策略 (或 者 重启 计算 机 ) 。 


匿 注意 : 计算 机 策略 (包括 此 处 介绍 的 本 地 安全 策略 ,以 及 后 面 将 要 介绍 的 域 控制 
器 安全 策略 、 域 安全 策略 和 组 策略 ) 修 改 之 后 ,必须 使 用 gpupdate 命令 进行 刷新 或 重启 ， 
修改 后 的 策略 才 会 生效 。 


(5) 验证 。 创 建 一 个 用 户 账户 (如 offi001) ,设置 长 度 小 于 10 的 密码 ,结果 弹出 错误 信 
息 提 示 对 话 框 (图 9-38)。 设 置 长 度 大 于 等 于 10 的 密码 ,创建 成 功 。 


[ES | 
0] 村 病 半 
Hw 可 
取消 | Wg... | 


图 9-37 【运行 ] 对 话 框 图 9-38 错误 信息 提示 对 话 框 


到 
为 用 户 offi001 设置 密码 时 ,出 现 了 以 下 错误 : 
本 检查 最 小 密码 长 度 、 密 码 复杂 性 和 密码 历史 的 要 


(6) 退出 系统 ,以 普通 账户 offi001 登录 ,故意 输 错 密码 3 次 ,结果 该 账户 被 锁定 
(图 9-39) 。 


ED J (7) 以 Administrator 账户 登录 系统 ,打开 
LN 入 WP 以 定 ， 刀 不 能 录 。 语 与 统 阁 理 入 联系。 


如 图 9-40 所 示 的 【offi001 属性 了 对 话 框 ,可 以 看 
到 【账户 已 锁定 】 复 选 框 被 自动 选中 了 ,说 明 该 


CE 账户 处 于 被 锁定 状态 。 取 消 对 【账户 已 锁定 了 复 
图 9-39 “账户 被 锁定 提示 对 话 框 选 框 的 选择 , 单 击 【 确 定 ] 按 钮 , 即 可 解除 对 该 账 
户 的 锁定 。 
(8) 验证 。 退 出 系统 ,再 次 以 offi001 账 
户 登 录 ,能 成 功 登录 则 说 明 设置 正确 。 Ee 
远程 控制 |。 终端 服务 配置 文件 。 | 拔 入 | 
常规 。 | 于 属于 | 配置 文件 | 环境 | 会 话 
9.5.2 用 户 权 限 分 配 设置 EE offi001 


如 果 想 通过 设置 不 允许 普通 用 户 在 本 | 竺 加 ”mm 
地 登录 , 则 需要 在 用 户 权限 分 配 中 进行 设 


夺 | 用户 PA 登录 时 公 更 以 人 3) 


置 。 设 置 步骤 如 下 : 厅 用 户 不 能 更 改 密码 C) 
(1) 以 Administrator 账户 登录 系统 ( 建 站 汪汪 


议 采 用 Windows Server 2003 R2 EnterPrise 厅 账户 已 证 定 @) 
Edition) ,选择 [开始 】 代 程序 ] 人 管理 工具 了 / 
【本 地 安全 策略 命令 ,打开 【本 地 安全 设 
置 ] 窗 口 ( 图 9-21) ,在 左 侧 窗口 的 目录 树 
中 ,选择 【本 地 策略 了 用户 权限 分 配 了 选 
项 ,打开 如 图 9-28 所 示 的 [用户 权限 分 配 】 图 9-40 【offi001 属性 ] 对 话 框 
属性 窗口 。 


(2) 在 右 侧 详细 信息 列表 窗 格 中 双击 【允许 在 本 地 登录 选项 ,默认 打开 【本 地 安全 设 
置 】 选 项 卡 ,选择 [允许 在 本 地 登录 文本 框 中 的 Power Users 和 Users 选项 (图 9-41) 。 单 击 
【删除 了 按钮 ,可 以 看 到 这 两 个 普通 用 户 组 已 从 允许 本 地 登录 的 成 员 列 表 中 删除 (图 9-42) 。 


允许 在 本 地 登录 尾 性 


图 9-41 【允许 在 本 地 登录 属性 3] 对话 框 (一 ) 图 9-42 【允许 在 本 地 登录 属性 ] 对 话 框 (二 ) 


(3) 单 击 【 确 定 ] 按 钮 ,确认 所 作 的 更 改 。 

(4) 选择 [开始 MV【 运 行 ] 命 令 ,在 打开 的 【运行 ] 对 话 框 中 输入 gpupdate 命令 ,刷新 本 计 
算 机 的 本 地 安全 策略 (或 者 重启 计算 机 ) 。 

(5) 验证 。 退 出 系统 ,使 用 普通 用 户 账户 offi001 登 
录 , 出 现 不 允许 交互 登录 的 提示 (图 9-43) ,说明 设置 
成 功 。 


9-43 不 允许 登录 提示 对 话 框 


9.5.3 安全 选项 设置 


如 果 想 让 用 户 在 登录 系统 前 必须 阅读 使 用 该 计算 机 的 注意 事项 ,那么 就 需要 在 安全 选 
项 中 进行 相关 设置 。 步 又 如 下 : 

(1) 以 Administrator 账户 登录 系统 (建议 采用 Windows Server 2003 R2 EnterPrise 
Edition) ,选择 [开始 人 程序 ] 人 管理 工具 了 人 K 本 地 安全 策略 】 了 命令, 打开 【本 地 安全 设置 】 窗 
口 (图 9-21) ,在 左 侧 窗口 的 目录 树 中 ,选择 【本 地 策略 M【 安 全 选项 〗 选 项 ,打开 如 图 9-30 所 
示 的 [安全 选项 属性 窗口 。 

(2) 在 右 侧 详 细 信 息 列表 窗 格 中 双击 【交互 式 登录 : 用 户 试 图 登录 时 消息 标题 选项， 
打开 如 图 9-32 所 示 的 对 话 框 。 在 默认 打开 的 [本 地 安全 设置 ] 选 项 卡 的 文本 框 中 输入 “请 您 
注意 ”。 然 后 单 击 【 确 定 ] 按 钮 ,返回 【安全 选项 属性 窗口 。 

(3) 在 右 侧 详细 信息 列表 窗 格 中 双击 【交互 式 登 录 : 用 户 试图 登录 时 消息 文字 】 选 项 ， 
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打开 如 图 9-33 所 示 的 对 话 框 。 在 默认 打开 可 
的 【本 地 安全 设置 】 选 项 卡 的 文本 框 中 输入 


“未 经 许可 ,不 能 使 用 外 来 储存 设备 ”。 然 后 
单 击 【 确 定 ] 按 钮 。 

(4) 选择 【开始 【运行 命令, 在 打开 
的 [运行 ] 对 话 框 中 输入 gpupdate 命令 , 刷 
新 本 计算 机 的 本 地 安全 策略 。 

(5) 验证 。 注 销 账户 ,重新 登录 。 在 按 
下 Ctrl 十 Alt 十 Del 组 合 键 后 ,弹出 如 图 9-44 
所 示 的 【请 您 注意 (第 (2) 步 中 设置 的 标题 ) CC 本 
对 话 框 ,文本 框 中 的 内 容 就 是 第 (3) 步 设置 
的 内 容 。 单 击 【确定 按钮 后 , 才 进 入 登录 对 图 9-44 用 户 登 录 前 弹出 的 消息 提示 对 话 框 
话 框 。 


9.6 域 控制 器 安全 策略 


9.6.1 域 控制 器 安全 策略 简介 


将 一 台 服 务 器 安装 了 AD 后 ,就 升级 为 域 控制 器 ,在 域 控制 器 中 ,本 地 安全 策略 被 域 控 
制 器 安全 策略 代替 。 因 此 , 域 控制 器 安全 策略 与 本 地 安全 策略 的 选项 及 其 用 法 大 部 分 是 相 
同 的 ,不 再 袭 述 。 下 面 仅 对 两 者 的 不 同 之 处 进行 说 明 。 


1. 域 控制 器 安全 策略 与 本 地 安全 策略 的 区 别 


(1) 影响 的 计算 机 不 同 。 域 控制 器 安全 策略 影响 的 是 域 控制 器 ,而 本 地 安全 策略 影响 
的 是 非 域 控制 器 。 

(2) 打开 的 方式 不 同 。 域 控制 器 安全 策略 的 打开 方式 为 : 选择 【开始 】 代 程序] 人 管理 
工具 YA【 域 控制 器 安全 策略 ] 命 令 。 

本 地 安全 策略 的 打开 方式 为 : 选择 [开始 YA【 程 序 M【 管 理工 齿 A【 本 地 安全 策略 命令 。 

(3) 账户 策略 有 区 别 。 域 控制 器 安全 策略 的 账户 策略 与 域 用 户 账 户 的 登录 有 关 , 且 增 
加 了 Kerberos 策略 。 而 本 地 安全 策略 的 账户 策略 与 本 地 用 户 账户 的 登录 有 关 。 

下 面 详细 介绍 Kerberos 策略 。 


医 注 意 ; 对 于 两 种 安全 策略 共同 拥有 的 策略 选项 ,在 域 控制 器 安全 策略 中 的 用 法 和 
默认 设置 可 能 会 有 所 不 同 ,这 些 不 同 之 处 在 上 面 介 绍 本 地 安全 策略 时 已 经 作 了 说 明 。 
2. Kerberos 策略 


Kerberos 是 一 种 网 络 认证 协议 ,其 设计 目标 是 通过 密 钥 系统 为 客户 机 /服务 器 应 用 程 
序 提供 强大 的 认证 服务 。 该 认证 过 程 的 实现 不 依赖 于 主机 操作 系统 的 认证 ,无 须 基于 主机 
地 址 的 信任 ,不 要 求 网 络 上 所 有 主机 的 物理 安全 ,并 假定 网 络 上 传送 的 数据 包 可 以 被 任意 地 
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读 取 ,修改 和 插入 数据 。 在 上 述 情况 下 ,Kerberos 作为 一 种 可 信任 的 第 三 方 认 证 服务 ,通过 
传统 的 密码 技术 (如 共享 密 钥 ) 执 行 认 证 服务 。Kerberos V5( 即 Kerberos 版 本 5) 是 面向 
Windows Server 2003 中 的 服务 和 应 用 程序 的 默认 网 络 身 份 验证 方法 。 

Kerberos 策略 用 于 域 用 户 账户 ,用 于 确定 与 Kerberos 相关 的 设置 ,包括 服务 票证 最 长 
寿命 .计算 机 时 钟 同步 的 最 大 容 差 ,强制 用 户 登录 限制 ,用户 票 证 续 订 最 长 寿命 .用 户 票 证 最 
长 寿命 等 。 


医 注 意 : 票证 是 Kerberos 身份 验证 的 基本 单位 。 它 是 严谨 构造 的 、 在 计算 机 之 间 
传递 的 消息 ,其 中 包括 身份 验证 信息 。 

Windows 中 的 两 种 票证 形式 是 票证 授予 式 票 证 (Ticket-Granting Ticket,TGT) 和 服 
务 票 证 。TGT 是 用 户 登 录 时 ,KDC 颁发 给 用 户 的 凭据 。 当 服务 要 求 会 话 票 证 时 ,用 户 必 
须 向 KDC 递交 TGT, 因 为 TGT 对 于 用 户 的 登录 会 话 活动 通常 是 有 效 的 , 它 有 时 称 为 
“用 户 票 证 ”。 

服务 票证 是 由 允许 用 户 验 证 域 中 指定 服务 的 Kerberos V5 票证 授予 服务 (Ticket- 
Granting Service,TGS) 颁 发 的 票证 。 如 果 客 户 端 请 求 服务 器 连接 时 出 示 的 会 话 票证 已 
过 期 ,服务 器 将 返回 错误 消息 。 客 户 端 必须 从 KDC 请 求 新 的 会 话 票 证 。 然 而 一 旦 连接 
通过 了 身份 验证 ,该 会 话 票证 是 否 仍然 有 效 就 无 关 紧 要 了 。 会 话 票 证 仅 用 于 验证 和 服务 
器 的 新 建 连接 。 


选择 [开始 MA【 程 序 M【 管 理工 具 YA【 域 控制 器 安全 策略 3 命令 ,打开 【默认 域 控 制 器 安全 
设置 对话 框 ,在 左 侧 窗口 的 目录 树 中 ,选择 【Windows 设置 MA【 安 全 设置 VM【 账 户 策略 3/ 
【Kerberos 策略 〗 选 项 ,打开 [Kerberos 策略 3 属性 窗口 (图 9-45) ,在 右 侧 详细 信息 列表 窗 格 
中 显示 了 可 配置 的 Kerberos 策略 的 当前 配置 。 下 面 详细 介绍 如 下 。 

(1) 强制 用 户 登 录 限 制 。 该 策略 确定 Kerberos V5 密 钥 分 发 中 心 (Kerberos Key 
Distribution Center, KDC) 是 否 要 根据 用 户 账户 的 用 户 权 限 来 验证 每 一 个 会 话 票证 请 求 。 
验证 每 一 个 会 话 票 证 请 求 是 可 选 的 ,因为 额外 的 步骤 需要 花费 时 间 ,并 可 能 降低 服务 的 网 络 
访问 速度 。 默 认 值 为 启用 。 

(2) 服务 票证 最 长 寿命 。 该 策略 确定 使 用 所 授予 的 会 话 票证 可 访问 特定 服务 的 最 长 时 
间 ( 以 分 钟 为 单位 ) 。 该 设置 必须 大 于 10 分 钟 并 且 小 于 或 等 于 下 面 将 要 介绍 的 “用 户 票 证 最 
长 寿命 ”设置 。 默 认 值 为 600 分 钟 。 

双击 图 9-45 右 侧 详细 信息 列表 窗 格 中 的 【服务 票证 最 长 寿命 } 选 项 ,打开 【服务 票证 最 
长 寿命 属性 对 话 框 ,选中 [定义 这 个 策略 设置 3 复 选 框 后 ,可 以 在 【票证 过 期 时 间 】 下 的 文本 
框 中 输入 时 间 值 。 单 击 【确定 3 按钮 后 ,会 弹出 【建议 的 数值 改动 对 话 框 (图 9-46) , 单 击 【 确 
定 ] 按 钮 即 可 完成 。 

(3) 用 户 票 证 最 长 寿命 。 该 策略 确定 用 户 TGT 的 最 长 使 用 时 间 ( 单 位 为 小 时 )。 用 户 
TGT 期 满 后 ,必须 请 求 新 的 或 “ 续 订 ? 现 有 的 用 户 票证 。 默 认 值 为 10 小 时 。 

(4) 用 户 票证 续 订 最 长 寿命 。 该 策略 确定 可 以 续 订 用 户 TGT 的 期 限 ( 以 天 为 单位 ) 。 
默认 值 为 7 天 。 

(5) 计算 机 时 钟 同 步 的 最 大 容 差 。 该 策略 确定 Kerberos V5 所 允许 的 客户 端 时 钟 和 提 
供 Kerberos 身份 验证 的 Windows Server 2003 域 控制 器 上 的 时 间 的 最 大 差 值 (以 分 钟 为 单 
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文件 四 如 作 @) 查看 W) 帮助 
守 少 | 儿 | 四 | 多 | 妨 轩 


服务 票证 最 长 寿命 


图 9-45 【Kerberos 策略 属性 窗口 


服务 票证 最 长 寿命 尾 性 | 


加 和 ER 的 直 仙 在 是 600 分 名 ”下列 顶 目的 设置 二 到 成 建 议 的 雪 


| 用户 票证 续 订 最 长 寿命 没有 定义 34 天 
项 用 户 球 证 最 长 寿命 没有 定义 10 个 小 时 


‘ | 


图 9-46 【服务 票证 最 长 寿命 属性 对话 框 


医 注意: 为 防止 “轮番 攻击 ”,Kerberos V5 在 其 协议 定义 中 使 用 了 时 间 蕉 。 为 使 时 
间 蕉 正常 工作 ,客户 端 和 域 控制 器 的 时 钟 应 尽 可 能 保持 同步 。 换 言 之 ,应 该 将 这 两 台 计算 
机 设置 成 相同 的 时 间 和 日 期 。 因 为 两 台 计 算 机 的 时 钟 常常 不 同步 ,所 以 管理 员 可 使 用 该 
策略 来 设置 Kerberos V5 所 能 接受 的 客户 端 时 钟 和 域 控制 器 时 钟 间 的 最 大 差 值 。 如 果 客 
户 端 时 钟 和 域 控制 器 时 钟 间 的 差 值 小 于 该 策略 中 指定 的 最 大 时 间 差 ,那么 在 这 两 台 计算 
机 的 会 话 中 使 用 的 任何 时 间 蕉 都 将 被 认为 是 可 信 的 。 该 设置 并 不 是 永久 性 的 。 如 果 配 置 
该 设置 后 重新 启动 计算 机 ,那么 该 设置 将 被 还 原 为 默认 值 。 
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9.6.2 域 控 制 器 安全 策略 设置 应 用 


如 果 需 要 允许 域 中 info 组 所 有 用 户 账户 可 以 在 DC 上 登录 ,设置 步骤 如 下 : 

(1) 以 Administrator 账户 登录 域 控制 器 ,选择 [开始 【程序 MI 管理 工具 YA【 域 控制 器 
安全 策略 3 命令, 打开 【默认 域 控制 器 安全 设置 ] 对 话 框 , 在 左 侧 窗口 的 目录 树 中 ,选择 【安全 
设置 M【 本 地 策略 ME 用 户 权限 分 配 〗 选 项 ,打开 【用户 权限 分 配属 性 窗口 (图 9-47) 。 


"默认 域 控制 器 安全 设置 
文件 中 操作) 查看 WW) 帮助 0 
所 祖 | 折 加 | 久 区 芭 | 苞 轩 


策略 设 
LDCAL SERVICE, NE 
Everyone, Adninis 
没有 定义 
设 有 定义 
Adninistrators 


Authenticated Us 


Adninistrators 
Account Operat 
Adninistrators 
没有 定义 


Adninistrators,P 


站 ri 
a 


图 9-47 【用 户 权 限 分 配 ] 属 性 窗口 


(2) 在 右 侧 详细 信息 列表 窗 格 中 双击 【允许 在 本 地 登录 】 选 项 ,打开 【允许 在 本 地 登录 
属性 对 话 框 (图 9-48) ,图 中 文本 框 显示 了 人 允许 在 本 地 登录 的 用 户 或 组 。 

(3) 单 击 【 添 加 用 户 或 组 3 按钮 ,打开 【选择 用 户 或 组 ] 对 话 框 。 单 击 【浏览 ] 按 钮 ,打开 
【选择 用 户 .计算 机 或 组 】 对 话 框 (图 9-49)。 


允许 在 本 地 登录 尾 性 2 
安全 策略 设置 | 解释 这 个 设置 | 


Administrators 
Backup Operators 


Print Operators 添加 用 户 或 租 EE:| 
stua 


用 户 和 组 名 
调 览 加 
选择 用 户 、 计 算 机 或 给 了 xl 


图 9-48 【允许 在 本 地 登录 属性 ] 对 话 框 图 9-49 【选择 用 户 、 计 算 机 或 组 3 对话 框 


向 国 ) 
Ves 
< 
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(4) 单 击 【高 级 按钮 ,打开 【选择 用 户 、 计 算 机 或 组 了 高 级 对 话 框 。 单 击 【立即 查找 了 按 
钮 ,在 【搜索 结果 】 文 本 框 中 会 显示 域 中 所 有 成 员 ,利用 滚动 条 找到 并 选择 info 组 (图 9-50) 。 


加 到 
选择 此 对 象 类 型 G): 

帮 二 葡 或 内 村 安全 主 售 对 象 类 型 0) 
查找 位 置 到 ) 

Fee 位置 


三 可用 的 相 户 加 aEwi| 
[ale 
ES | & 


EDN) 
HelpServicesGroup 帮助 和 支持 


teach con/ 
Tneoming Forest Tr. 


teach. com/B. 


teach. com 
teach. com 


ue 


GLOCAL SERYICE 

*@ WETWORK 
(Retwork Confieurat. 
| rd 


teach. com 


teach. com/B. 


图 9-50 ”在 [搜索 结果 ] 文 本 框 中 选择 info 组 
(5) 单 击 【 确 定 ] 按 钮 。 依 次 返回 上 一 级 对 话 框 ,依次 单 击 【 确 定 ] 按 钮 ,直到 关闭 所 有 对 
(6) 选择 [开始 【运行 命令 ,在 打开 的 [运行] 对话 框 中 输入 gpupdate 命令 ,刷新 本 计 
算 机 的 本 地 安全 策略 。 


(7) 验证 。 注 销 Administrator, 以 info 组 中 的 用 户 账户 info001 登录 域 控 制 器 ,能 成 功 
登录 则 说 明 设 置 正确 。 


9.7 域 安全 策略 


当 一 台 服 务 器 通过 安装 AD 升级 为 域 控制 器 后 , 域 控制 器 安全 策略 代 蔡 了 本 地 安全 策 
略 , 同 时 还 增加 了 对 整个 域 进行 安 全 保护 的 域 安全 策略 。 

域 安全 策略 的 打开 方式 为 : 选择 【开始 ] 民 程序 ] 人 管理 工具 了 代 域 安全 策略 了 命令 
(图 9-51) ,可 以 看 到 其 选项 与 域 控制 器 安全 策略 选项 完全 相同 ,那么 ,本 地 安全 策略 ` 域 控 
制 器 安全 策略 和 域 安全 策略 三 者 之 间 有 什么 联系 和 区 别 呢 ? 当 这 些 策略 设置 项 作用 于 同一 
台 计 算 机 上 发 生 冲突 时 , 哪 一 种 策略 优先 呢 ? 


下 面 ,首先 介绍 这 三 种 安全 策略 之 间 的 关系 ,然后 介绍 域 安全 策略 中 几 个 重要 策略 的 
应 用 。 
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而 默认 域 安全 设置 
文件 @) 操作 人 查看 W 帮助 0 
所 祖 | 钻 | 四 | 庆 双 | 鲜 田 


图 9-51 【默认 域 安全 设置 窗口 


9.7.1 三 种 安全 策略 的 关系 


1. 三 种 安全 策略 的 作用 范围 不 同 


(1) 本 地 安全 策略 是 本 地 策略 的 一 部 分 ,在 计算 机 启动 后 就 会 被 执行 ,无 论 该 计算 机 是 
处 于 工作 组 模式 还 是 域 模式 。 

(2) 域 安全 策略 是 域 策略 的 一 部 分 , 它 要 
影响 整个 域 中 的 所 有 计算 机 ,因此 一 台 计算 必用 范围 
机 只 要 处 于 域 模式 ,就 会 采用 域 策略 。 

(3) 域 控制 器 安全 策略 是 OU 策略 的 一 
种 , 它 的 作用 范围 是 域 控制 器 。 

它们 之 间 的 关系 可 以 用 图 9-52 表示 。 


2. 三 种 安全 策略 的 优先 级 


除了 账户 策略 以 外 , 当 客户 端的 本 地 安 图 9-52 三 种 安全 策略 的 关系 
全 策略 与 域 安全 策略 的 设置 项 发 生 冲 突 时 ， 
域 安 全 策略 优先 ; 当 域 控制 器 安全 策略 与 域 安全 策略 的 设置 项 发 生 冲 突 时 , 域 控 制 器 安全 策 
略 优先 。 对 于 账户 策略 , 域 安全 策略 优先 级 最 高 。 


殴 注 意 : 当 同 一 种 安全 策略 中 的 允许 策略 与 拒绝 策略 冲突 时 ,拒绝 策略 优先 于 允许 
策略 。 但 是 ,如 果 允 许 策略 与 拒绝 策略 分 别 在 不 同 种 类 的 安全 策略 中 设置 , 则 遵循 上 述 优 
先 级 规则 。 


' ; 
和 DCcl DC2 一 ‘Pcy ‘PC2 


控制 器 安全 策略 “本 pp a 
作用 范 雨 本 地 安全 策略 
:用 范围 作用 范围 


3. 优先 级 验证 


通过 下 列 的 设置 验证 三 种 安全 策略 的 优先 级 。 
(1) 本 地 安全 策略 与 域 安全 策略 的 设置 项 冲突 ( 表 9-6) ,设置 及 验证 步骤 如 下 : 
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表 9-6 本 地 安全 策略 与 域 安全 策略 的 设置 项 设置 情况 


设 置 项 本 地 安全 策略 域 安全 策略 
ee 第 1 次 ; 设 为 3 第 1 次 ; 设 为 8 
和 第 2 次 : 设 为 8 第 2 次 : 设 为 3 


Oz 在 域 中 一 台 安 装 了 Windows 2000/XP 的 客户 端 上 ,以 Administrator 账户 登录 , 设 
置 本 地 安全 策略 : 密码 长 度 最 小 值 ( 设 为 3) 。 详 细 操作 步骤 参考 9. 5. 1 小 节 。 

@ 在 域 控制 器 中 ,以 Administrator 账户 登录 ,设置 域 安全 策略 : 密码 长 度 最 小 值 ( 设 
为 8)。 

@ 在 客户 端 上 修改 用 户 账 户 offic001 的 密码 ,设置 长 度 大 于 等 于 3 且 小 于 8 的 密码 , 结 
果 弹 出 如 图 9-38 所 示 错 误 信 息 提示 对 话 框 。 

@ 试 将 本 地 安全 策略 的 密码 长 度 最 小 值 设置 为 8, 而 域 安全 策略 的 密码 长 度 最 小 值 设 
置 为 3, 修 改 用 户 账 户 offic001 的 密码 为 长 度 大 于 等 于 3 且 小 于 8 的 值 。 结 果 修 改 成 功 。 

上 述 实 例 验证 了 当 客 户 端的 本 地 安全 策略 与 域 安全 策略 的 设置 项 发 生 冲 突 时 , 域 安全 
策略 优先 。 

(2) 域 控制 器 策略 与 域 安全 策略 的 设置 项 冲突 ( 表 9-7) ,设置 及 验证 步骤 如 下 : 


表 9-7 域 控制 器 安全 策略 与 域 安全 策略 的 设置 项 设置 情况 
设 置 项 域 控制 器 安全 策略 域 安全 策略 
交互 式 登录 : 用 户 试 图 登录 时 消息 标题 | 请 您 注意 欢迎 您 
交互 式 登录 : 用 户 试 图 登录 时 消息 文字 | 未 经 许可 ,不 能 使 用 外 来 储存 设备 ! | 欢迎 您 来 到 XX 公司 ! 


以 Administrator 账户 登录 域 控制 器 ,设置 域 控制 器 安全 策略 的 “交互 式 登录 : 用 户 
试图 登录 时 消息 标题 ”选项 为 “请 您 注意 ”; 设 置 “交互 式 登 录 : 用 户 试图 登录 时 消息 文字 ” 选 
项 为 “未 经 许可 ,不 能 使 用 外 来 储存 设备 !”( 详 细 操作 步骤 参考 9. 6. 2 小 节 ) 。 

@ 设置 域 安全 策略 的 “交互 式 登 录 : 用 户 试图 登录 时 消息 标题 ”选项 为 “欢迎 您 ”设置 
“交互 式 登录 : 用 户 试 图 登录 时 消息 文字 ”选项 为 “欢迎 您 来 到 XX 公司 1”。 

@ 运行 gpupdate 命令 ,刷新 安全 策略 。 

@ 注销 账户 ,重新 登录 ,结果 弹出 如 图 9-44 所 示 的 【请 您 注意 ] 对 话 框 。 

上 述 实例 验证 了 当 域 控制 器 策略 与 域 安全 策略 的 设置 项 冲突 时 , 域 控制 器 安全 策略 
优先 。 

(3) 允许 策略 与 拒绝 策略 冲突 ( 表 9-8) ,设置 及 验证 步骤 如 下 。 


表 9-8 域 控制 器 安全 策略 与 域 安全 策略 的 设置 项 设置 情况 -1 


设 置 项 域 控制 器 安全 策略 域 安全 策略 


第 1 次 : 默认 (无 允许 other001) 
第 2 次 : 添加 other001 


拒绝 本 地 登录 默认 (无 拒绝 other001) 拒绝 other001 


允许 在 本 地 登录 允许 other001 


@ 以 Administrator 账户 登录 域 控制 器 ,设置 域 安全 策略 的 “允许 在 本 地 登录 ”选项 , 添 
加 用 户 账户 other001; 设 置 “ 拒 绝 在 本 地 登录 ”选项 ,添加 用 户 账户 other001( 详 细 操作 步骤 
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参考 9. 6. 2 小 节 )。 

@ 检查 域 控制 器 安全 策略 的 “允许 本 地 登录 ”选项 ,确认 无 用 户 账户 other001; 检 查 “ 拒 
绝 本 地 登录 ”选项 ,确认 无 用 户 账户 other001。 

@ 运行 gpupdate 命令 ,刷新 安全 策略 。 

@ 注销 Administrator 账户 ,以 other001 账户 登录 ,结果 弹出 如 图 9-43 所 示 不 允许 交 
互 登 录 的 提示 。 

@ 重新 以 Administrator 账户 登录 ,修改 域 控 制 器 安全 策略 的 “允许 在 本 地 登录 ”选项 ， 
添加 用 户 账户 other001。 

@ 运行 gpupdate 命令 ,刷新 安全 策略 。 

@ 注销 Administrator 账户 ,以 other001 账户 登录 ,结果 能 正常 登录 。 

上 述 实例 验证 了 当 同 一 种 安全 策略 中 的 允许 策略 与 拒绝 策略 冲突 时 ,拒绝 策略 优先 于 
允许 策略 ;但 是 ,如 果 允 许 策略 与 拒绝 策略 分 别 在 不 同 种 类 的 安全 策略 中 设置 , 则 遵循 上 述 
优先 级 规则 。 

(4) 域 控 制 器 的 账户 策略 与 域 的 账户 策略 的 设置 项 冲突 ( 表 9-9) ,设置 及 验证 步骤 
如 下 : 


表 9-9 域 控制 器 安全 策略 与 域 安全 策略 的 设置 项 设置 情况 


设 置顶 域 控制 器 安全 策略 域 安全 策略 
a 人 第 1 次 : 设 为 3 第 1 次 : 设 为 8 
光 二 八代 归 小 位 第 2 次 : 设 为 8 第 2 次 : 设 为 3 


以 Administrator 账户 登录 域 控制 器 ,设置 域 控制 器 安全 策略 : 密码 长 度 最 小 值 ( 设 
为 3)。 详 细 操作 步骤 参考 9. 5. 1 小 节 。 

@ 设置 域 安全 策略 : 密码 长 度 最 小 值 ( 设 为 8) 。 

@ 修改 用 户 账户 offic001 的 密码 ,设置 长 度 大 于 等 于 3 且 小 于 8 的 密码 ,结果 弹出 如 
图 9-38 所 示 的 错误 信息 提示 对 话 框 。 

@ 试 将 域 控制 器 安全 策略 的 密码 长 度 最 小 值 设 置 为 8, 而 域 安全 策略 的 密码 长 度 最 小 
值 设置 为 3, 再 次 修改 用 户 账 户 offic001 的 密码 为 长 度 大 于 等 于 3 且 小 于 8 的 值 。 结 果 修 改 
成 功 。 

上 述 设置 验证 了 对 于 账户 策略 , 域 安全 策略 优先 级 最 高 。 


9.7.2 审核 文件 及 文件 夹 


作为 域 管理 员 ,为 了 保障 整个 域 的 安全 性 ,必须 设置 相应 的 策略 以 便 能 及 时 发 现 威胁 ， 
并 采取 应 对 措施 ,将 威胁 消灭 在 萌芽 状态 。 因 此 ,在 域 安全 策略 中 创建 一 个 有 效 的 审核 策略 
是 很 重要 的 ,以 定义 需要 报告 的 安全 事件 。 例 如 , 某 用 户 账户 多 次 登录 失败 、 某 用 户 账户 频 
繁 尝试 访问 其 他 账户 加 密 的 文件 、 某 用 户 账户 试图 对 审核 策略 进行 更 改 等 。 

但 是 ,如 果 审 核 策略 设置 的 审核 事件 过 多 ,导致 许多 授权 活动 都 生成 事件 , 则 安全 日 志 
将 被 大 量 无 用 的 数据 占 满 ,最 早 的 审核 项 将 被 覆盖 。 因 此 ,审核 策略 必须 根据 实际 环境 和 用 
户 的 要 求 来 设置 。 
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1. 审核 策略 设置 建议 


在 一 般 情况 下 ,审核 策略 选项 的 设置 建议 如 下 (审核 策略 的 一 般 用 法 可 以 参考 9. 4. 2 
i 

。 审核 账户 登录 事件 : 成 功 、 失 败 

该 策略 审核 域 用 户 账户 从 域 中 的 计算 机 登录 时 , 域 控制 器 收 到 的 验证 信息 。 如 果 仅 审 
核 成 功 的 操作 , 则 未 经 授权 的 入 侵 尝 试 将 不 会 出 现在 日 志 中 。 未 经 授权 的 入 侵 尝 试 的 特征 
是 出 现 大 量 的 不 成 功 操作 。 

。 审核 账户 管理 : 成 功 、 失 败 

该 策略 审核 计算 机 上 的 每 一 个 用 户 账户 管理 事件 ,包括 创建 更改 或 删除 用 户 账户 或 
组 ; 重 命 名 、 禁 用 或 启用 用 户 账户 ;设置 或 更 改 密码 。 

。 审核 目录 服务 访问 : 失败 

该 策略 审核 用 户 访问 活动 目录 对 象 的 事件 。 

。 审核 登录 事件 : 成 功 、 失 败 

该 策略 审核 所 有 计算 机 用 户 的 登录 和 注销 事件 。 

。 审核 对 象 访问 : 失败 

该 策略 审核 用 户 访问 某 个 对 象 的 事件 ,例如 文件 .文件 夹 .注册 表 项 .打印 机 等 。 

。 审核 策略 更 改 : 成 功 、 失 败 

该 策略 审核 对 用 户 权 限 分 配 策略 .审核 策略 更 改 的 每 一 个 事件 。 

。 审核 特权 使 用 : 失败 

该 策略 审核 用 户 实施 其 用 户 权利 的 每 一 个 事件 。 

。 审核 过 程 跟踪 : 无 审核 

该 策略 审核 对 事件 的 详细 跟踪 信息 。 如 果 设 置 为 “失败 ”, 则 审核 事件 跟踪 用 户 对 无 权 
访问 区 域 的 访问 尝试 。 

。 审核 系统 事件 : 成 功 、 失 败 

该 策略 审核 用 户 重新 启动 或 关闭 计算 机 时 或 者 对 系统 安全 或 安全 日 志 有 影响 的 事件 。 


2. 审核 文件 及 文件 来 CETTE TT | 


在 此 以 对 文件 或 文件 夹 设置 审核 策略 为 
例 ,说 明 审 核 策略 的 用 法 及 其 设置 步骤 。 

(1) 启用 域 或 者 本 机 的 审核 策略 中 的 审核 
对 象 访问 策略 ,并 刷新 策略 。 

在 如 图 9-51 所 示 的 【审核 策略 了 属性 窗口 
的 右 侧 详细 信息 列表 窗 格 中 双击 【审核 对 象 
访问 选项 ,打开 【审核 对 象 访问 属性 】 了 对话 
框 , 选 中 [定义 这 些 策略 设置 】 复 选 框 ,选中 
【失败 】 复 选 框 ( 图 9-53) 。 单 击 【 确 定 了 按钮 。 
运行 gpupdate 命令 ,刷新 安全 策略 。 

(2) 在 需要 审核 的 文件 或 文件 夹 的 [高 级 Cue ] ww | mw 
安全 设置 MA【 审 核 ] 中 ,添加 要 审核 的 账户 及 详 图 9-53 【审核 对 象 访问 属性 ] 对 话 框 


a 


细 的 审核 项 目 。 

例如 ,在 需要 审核 的 文件 Eula. txt 上 右 击 , 在 弹出 的 [Eula. txt 属性 3 对 话 框 中 选择 [安全 】 
选项 卡 , 单 击 【高 级 按钮 ,打开 【Eula. txt 的 高 级 安全 设置 对话 框 。 选 择 【 审 核 3 选 项 卡 
(图 9-54) , 单 击 【 添 加 3 按钮 ,参考 9. 6. 2 小 节 的 步骤 ,添加 要 审核 的 账户 (如 stu001)。 依 次 单 
击 【确定 按钮 后 打开 【Eula. txt 的 审核 项 目 ] 对 话 框 (图 9-55) ,在 此 可 设置 详细 的 审核 项 目 。 


图 9-54 【Eula. txt 的 高 级 安全 设置 3 对 话 框 的 [审核 3 选项 卡 


Eula. txt 的 审核 项 目 


9-55 【Eula. txt 的 审核 项 目 ] 对 话 框 
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3. 事件 查看 器 


使 用 “事件 查看 器 ”, 可 以 监视 事件 日 志 中 记录 的 事件 。 通 常 ,计算 机 会 存储 应 用 程序 、 
安全 性 和 系统 日 志 。 根 据 计 算 机 的 角色 和 所 安装 的 应 用 程序 ,还 可 能 包括 其 他 日 志 , 如 目录 
服务 .DNS 服务 器 文件 复制 服务 等 。 

攻 提示 : 日 志文 件 是 一 些 文件 系统 集合 ,依靠 建立 起 的 各 种 数据 的 日 志文 件 而 存在 。 
在 任何 系统 发 生 崩 演 或 需要 重新 启动 时 ,数据 就 遵从 日 志文 件 中 的 信息 记录 原封 不 动 进行 
恢复 。 日志 对 于 系统 安全 的 作用 是 显而易见 的 ,无 论 是 网 络 管 理 员 还 是 黑客 都 非常 重视 日 
志 , 一 个 有 经 验 的 管理 员 往 往 能 够 迅速 通过 日 志 了 解 到 系统 的 安全 性 能 。 


打开 事件 查看 器 的 方法 为 : 选择 [开始 了 程序] 人 管理 工具 人 计算 机 管理 了 命令 ,打开 
【计算 机 管理 窗口 ,在 左 侧 窗 口 的 目录 树 中 ,选择 [计算 机 管理 (本 地 )M【 系 统 工具 MA【 事 件 
查看 器 3 选项 ,打开 【事件 查看 器 了 属性 窗口 (图 9-56) 。 
鱼 计算 机 管理 


加 文件 四 ”操作 查看 WD 窗口 岂 帮助 00 
中 少 | 斩 | 四 | 狠 日 区 | 久 田 


7 11:30;49 SceCli 
8:24:29 LoadPerf 
8:24:28 LosdPerf 

-7 8:20:59 
8:20:51 

-7 8:20:41 
8:20;40 
8:20:39 


性 能 日 志和 警报 


设备 管理 器 TS 


国 《 - 
由 性 
-7 8:20:15 


办 可 ad 2 
天 公 玫 洛 -7 8:20:15 
国信 息 -9-7 8:20:15 

-7 8:19:03 


图 9-56 【事件 查看 器 ] 属 性 窗口 


(1) 事件 日 志 类 型 。 事件 查看 器 中 各 种 日 志 的 作用 如 下 。 

Q@ 应 用 程序 。 记 录 应 用 程序 或 系统 程序 记录 的 事件 。 例 如 ,数据 库 应 用 程序 可 能 会 将 
文件 错误 记录 在 应 用 程序 日 志 

@ 安全 性 。 记录 登录 宅 试 以 及 与 资源 使 用 相关 的 事件 。 如 有 效 的 和 无 效 的 登录 尝试 ， 
以 及 与 创建 .打开 或 删除 文件 等 资源 使 用 相关 联 的 事件 。 

@ 系统 。 记 录 Windows 系统 组 件 记 录 的 事件 。 例 如 ,在 启动 过 程 将 加 载 的 驱动 程序 
或 其 他 系统 组 件 的 失败 记录 在 系统 日 志 中 。 

@ 目录 服务 。 记 录 与 Active Directory 相关 的 事件 。 只 有 域 控制 器 上 提供 此 日 志 

@ DNS 服务 器 。 记 录 与 DNS 名 称 和 IP 协议 地 址 双向 解析 相关 的 事件 。 只 有 DNS 服 
务 器 上 提供 此 日 志 。 

@ 文件 复制 服务 。 记 录 域 控制 器 之 间 进 行 复制 过 程 中 记录 的 事件 。 只 有 域 控制 器 上 


提供 此 日 志 。 
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Xz 


(2) 事件 类 型 。 事 件 查 看 器 的 事件 类 型 有 以 下 五 种 (其 图 标 样式 如 图 9-57 所 示 )。 

Q@ 错误 (红色 图 标 ) 。 重 要 的 问题 ,如 数据 丢失 或 功能 丧失 。 例 如 ,如 果 在 启动 过 程 中 
某 个 服务 加 载 失败 ,这 个 错误 将 会 被 记录 下 来 。 

@ 警告 (黄色 图 标 ) 。 并 不 是 非常 重要 ,但 有 可 能 说 明 将 来 的 潜在 问题 的 事件 。 例 如 ， 
当 磁盘 空间 不 足 时 ,将 会 记录 警告 。 

@ 信息 (白色 图 标 )。 描 述 了 应 用 程序 、 驱 动 程序 或 服务 的 成 功 操作 的 事件 。 例 如 , 当 
网 络 驱动 程序 加 载 成 功 时 ,将 会 记录 一 个 信息 事件 。 

@ 成 功 审核 (锁匙 图 标 )。 成 功 的 审核 安全 访问 尝试 。 例 如 ,用 户 试图 登录 系统 成 功 会 
作为 成 功 审核 事件 记录 下 来 。 

@ 失败 审核 ( 锁 图 标 )。 失 败 的 审核 安全 登录 尝试 。 例 如 ,如 果 用 户 试图 访问 网 络 驱 动 
器 并 失败 了 , 则 该 尝试 将 会 作为 失败 审核 事件 记录 下 来 。 

(3) 保存 日 志 。 各 类 事件 日 志 可 以 以 日 志文 件 的 形式 保存 。 保 存 方法 为 : 选择 菜单 栏 
的 【操作 了 人 另存 日 志文 件 ] 命 令 (图 9-58)。 日 志文 件 的 扩展 名 为 . evt。 


Security 
7 22;00:25 Security 
7 22;00:25 Security 
7 22;00:25 Security 


10:16:44 Wa2Tine 
9;46:29 Wa2Tine 
9:34:46 Servi 

9:34;43 Servi 

9;34:30 。 Wetlogon 
9:34:30 。 Wetlogon 
15:39:07 Security 


-7 22;00:25 Security 
7 22:00:25 Security 
7 22:00:25 Security 


7 22:00:25 Security 
7 22:00:25 Security 
7 22:00:25 Security 


-7 22:00:25 i 
(a 


| 
图 9-57 事件 查看 器 的 事件 类 型 图 9-58 菜单 栏 的 操作 了 人 另存 日 志文 件 ] 命 令 


15:39:07 Security 
15:38:24 Security 
22:58:12 Security 
22:58:10 Security 


9.8 域 安全 策略 的 应 用 


为 了 更 好 地 说 明 域 安全 策略 的 作用 ,下 面 分 别 介绍 账户 策略 设置 审核 策略 设置 的 实际 
应 用 。 


9.8.1 账户 策略 设置 


1. 案例 背景 


公司 里 很 多 职员 设置 密码 比较 草率 ,存在 以 下 不 安全 因素 : 长 度 很 短 ,而 且 不 符合 复杂 
性 要 求 ; 密 码 从 不 更 改 ; 有 时 会 发 生 非法 用 户 试探 职员 密码 , 想 窃取 公司 保密 信息 的 情况 。 


2. 方案 设计 
设置 域 账户 密码 长 度 至 少 8 个 字符 ;密码 符合 复杂 性 要 求 ; 密 码 至 少 45 天 修改 一 次 ; 输 
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入 5 次 错误 密码 即 锁定 该 用 户 账户 。 
3. 实施 要 求 
进行 上 述 策略 设置 ,并 验证 策略 的 效果 , 试 锁定 某 个 用 户 账户 ,并 为 其 解锁 。 
4. 操作 步骤 


(1) 以 Administrator 账户 登录 域 控制 器 ,选择 [开始 人 程序】 人 [管理 工具 ] 代 域 安 全 策 
略 】 命 令 ,打开 【默认 域 安全 设置 窗口 ,在 左 侧 窗口 的 目录 树 中 ,选择 【Windows 设置 MM【 安 
全 设置 MV【 账 户 策略 【密码 策略 选项 ,打开 【密码 策略 ] 属 性 窗口 (图 9-59) 。 


文件 四 操作) 可 看) 帮助 
守 消 | 名 | 四 | 区 | 岛 轩 


图 9-59 【密码 策略 ] 属 性 窗口 


(2) 设置 [密码 长 度 最 小 值 ] 选 项 的 值 为 8。 详细 操作 步骤 参考 9. 5. 3 小 节 。 

(3) 双击 【密码 必须 符合 复杂 性 要 求 3 选 项 ,打开 【密码 必须 符合 复杂 性 要 求 属性 对话 
框 ,选中 [定义 这 个 策略 设置 ] 复 选择 框 ,选择 【已 启用 ] 单 选 按钮 (图 9-60), 单 击 【 确 定 ] 按 钮 
即 可 。 

(4) 双击 【密码 最 长 使 用 期 限 〗 选 项 ,打开 【密码 最 长 使 用 期 限 属性 对话 框 ,选中 【定义 
这 个 策略 设置 ] 复 选择 框 ,在 【密码 过 期 时 间 ] 文 本 框 中 输入 45( 图 9-61)。 单 击 【确定 按钮 
完成 密码 至 少 45 天 修改 一 次 的 设置 。 

(5) 在 图 9-59 所 示 的 窗口 左 侧 ,选择 [账户 锁定 策略 3 选项 ,设置 账户 锁定 阅 值 为 5。 详 
细 操 作 步 又 参考 9. 5. 3 小 节 。 

(6) 运行 gpupdate 命令 刷新 域 安全 策略 。 

提示 : 由 于 域 的 账户 策略 优先 级 最 高 ,因此 ,只 要 修改 域 安 全 策略 ,不 管 域 控制 器 
安全 策略 设置 如 何 , 都 可 以 保证 对 整个 域 的 所 有 计算 机 生效 。 


(7) 修改 某 个 账户 (如 sale002) 的 密码 ,验证 密码 策略 是 否 起 作用 。 

(8) 使 用 某 个 域 账户 (如 sale002) 登 录 客 户 端 ,故意 输 错 密码 ,验证 账户 锁定 策略 是 否 
起 作用 。 

(9) 在 域 控制 器 上 ,由 Administrator 账户 解除 对 被 锁 账 户 ( 如 sale002) 的 锁定 。 验 证 
该 账户 能 否 正 常 登录 。 详 细 操作 步骤 可 以 参考 9. 5. 3 小 节 。 


密码 最 长 使 用 期 限 尾 性 


图 9-60 【密码 必须 符合 复杂 性 要 求 属性 ] 对 话 框 图 9-61 【密码 最 长 使 用 期 限 属性 对话 框 


9.8.2 审核 策略 设置 


1. 案例 背景 


企业 内 部 业务 数据 非常 重要 , 非 授权 人 员 不 能 访问 ,但 又 需要 在 一 定 范围 内 共享 。 有 时 
会 发 生 非 法 用 户 尝试 读 取 这 些 数据 , 想 窃取 公司 保密 信息 的 情况 。 管 理 员 必 须 及 时 掌握 这 
些 非法 用 户 的 可 疑 行为 ,并 采取 相应 措施 ,保证 保密 信息 的 安全 性 。 


2. 方案 设计 


使 用 EFS 对 保密 文件 夹 进行 加 密 , 并 授予 可 访问 的 用 户 权限 , 然 后 启用 EFS 文件 共 
享 ; 设 置 审核 策略 ,审核 所 有 用 户 账户 对 保密 文件 夹 的 访问 情况 。 


3. 实施 要 求 


进行 上 述 策略 设置 ,并 分 别 以 授权 用 户 账户 和 非 授 权 用 户 账户 登录 系统 ,对 保密 文件 夹 
进行 访问 ,通过 事件 查看 器 了 解 记录 情况 。 

4. 操作 步骤 

(1) 以 Administrator 账户 登录 域 控制 器 ,使 用 EFS 对 保密 文件 夹 ( 如 C:\admini) 加 
密 , 并 授予 可 访问 的 用 户 ( 比 如 info 组 中 的 info001 和 info002 账户 ) 权 限 , 然 后 启用 EFS 


文件 共享 (详细 操作 步骤 参考 8. 3.4 小 节 )。 设 置 该 文件 夹 的 共享 属性 ,使 之 可 以 通过 网 
络 共享 。 
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(2) 选择 [开始 MA【 程 序 MA【[ 管 理工 齿 VI 域 ”ERE 
安全 策略 了 命令 ,打开 【默认 域 安 全 设置 窗口 ， 
在 左 侧 窗 口 的 目录 树 中 ,选择 【Windows 设 
置 V[ 安 全 设置 MVM【 本 地 策略 【审核 策略 ] 选 
项 ,打开 【审核 策略 ] 属 性 窗口 (图 9-51) 。 

(3) 在 右 侧 详细 信息 列表 窗 格 中 双击 【 审 
核对 象 访问 选项 ,打开 【审核 对 象 访问 属性 】 
对 话 框 ,选中 [定义 这 些 策略 设置 ] 复 选 框 ,选中 
【失败 3 和 【成 功 ] 复 选 框 (图 9-62)。 单 击 [ 确 定 】 
按钮 。 

(4) 检查 并 修改 域 控制 器 安全 策略 ,确保 
其 相应 安全 选项 的 设置 不 会 因为 优先 级 高 于 域 图 9-62 【审核 对 象 访问 属性 ] 对 话 框 
安全 策略 而 阻止 上 述 策略 的 实现 。 然 后 ,运行 
gpupdate 命令 ,刷新 安全 策略 。 

图 提示 : 为 了 保证 域 安全 策略 某 些 选项 修改 后 能 够 生效 ,对 域 控制 器 安全 策略 必须 
采取 下 列 两 种 方法 中 的 一 种 进行 设置 : 第 一 种 方法 ,将 域 控制 器 安全 策略 相应 选项 设置 为 
“未 定义 ”, 即 取消 对 【定义 …… 设置 】 复 选 框 的 选中 ,使 该 策略 不 起 作用 (图 9-63) 。 否 则 ,会 
按照 默认 设置 执行 。 第 二 种 方法 ,将 域 控 制 器 安全 策略 相应 选项 设置 为 与 域 安全 策略 相同 。 


(5) 在 需要 审核 的 文件 夹 C:\admini 上 碳 击 ,在 弹出 的 [admini 属性 ] 对 话 框 中 选择 [ 安 
全 选项 卡 , 单 击 【高 级 了 按钮 ,打开 【admini 的 高 级 安全 设置 ] 对 话 框 。 选 择 【[ 审 核 ] 选 项 卡 
(图 9-63) , 单 击 [添加 按钮 ,参考 9. 6. 2 小 节 的 步骤 ,添加 要 审核 的 账户 (如 everone) 。 


图 9-63 【admini 的 高 级 安全 设置 对话 框 的 [审核 3 选项 卡 


(8) 
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(6) 单 击 两 次 【确定 了 按钮 后 ,打开 【admini Fe 3 

的 审核 项 目 ] 对 话 框 , 选 中 所 有 关于 成 功 和 失败 ， 珊 本 | 

的 复 选 框 (图 9-64) 。 单 击 【 确 定 了 按钮 .返回 上 一 smn | 

级 对 话 框 ,依次 单 击 【 确 定 ] 按 钮 ,直到 关闭 所 有 可 阳台 @) 相 文件 天 ， 子 文件 天 及 文件 E| 


访问 全 ); 


对 话 框 。 设 置 完 成 。 
(7) 以 info001 账户 登录 客户 端 ,通过 共享 A 
访问 文件 夹 C: \admini, 并 读 取 其 中 的 文件 
exam001. txt。 结 果 可 以 成 功 读 取 。 说 明 授 权 用 
户 可 以 访问 加 密 文件 。 
(8) 在 域 控制 器 中 ,打开 事件 查看 器 ,在 如 
图 9-56 所 示 的 窗口 中 ,选择 左 侧目 录 树 中 的 【LE 
【安全 性 选项 ,可 以 在 右 侧 详细 信息 列表 窗 格 
中 看 到 对 info001 账户 进行 对 象 访问 审核 成 功 


因 因 因 因 因 因 因 因 因 因 因 因 | 丑 


回 因 加 因 因 因 因 固 因 加 四 辕 | 效 


的 记录 (图 9-65)。 双 击 相 关 记录 ,打开 【事件 图 9-64 【admini 的 审核 项 目 ] 对 话 框 


属性 了 对话 框 ,可 以 看 到 关于 事件 的 详细 信息 
(图 9-66 ) 。 


(9) 注销 info001 账户 ,以 非 授权 用 户 账户 (如 other002) 登 录 客户 端 ,通过 共享 访问 文件 夹 
C:\admini, 并 读 取 其 中 的 文件 exam001. txt。 结 果 弹 出 拒绝 访问 提示 对 话 框 (图 9-67) ,提示 访 


问 该 文件 失败 。 说 明 非 授权 用 户 无 法 访问 加 密 文件 。 


(10) 在 域 控制 器 中 ,打开 事件 查看 器 ,可 以 查看 到 对 other001 账户 进行 对 象 访问 审核 


成 功 的 记录 及 关于 事件 的 详细 信息 (相关 操作 参考 前 面 的 步骤 ) 。 


提示 : 虽然 other001 账户 不 能 读 取 文 件 夹 admini 中 的 文件 ,但 是 other001 能 成 功 
访问 到 文件 夹 admini, 因此 ,事件 查看 器 的 【安全 性 】 选 项 中 有 关 “ 对 象 访问 ”审核 成 功 的 


记录 。 


所 计算 机 管理 
思 文件 @)， 换 作 人 ) 查看 WD 窗口 帮助 0) 


守 外 | 名 | 四 | 廊 日 区 | 岛国 


日- 放 系统 有 具 
日 加 事件 查看 器 
图 应 用 程序 


S62 
560 


计算 机 管理 本 地 ) “|][B 型 TB 期 [时间 [来源 | 分 类 |[ 事 .| 
2009 


info001 
info001 
info001 
info001 


图 9-65 事件 查看 器 [安全 性 选项 
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图 9-66 【事件 属性 ] 对 话 框 图 9-67 拒绝 访问 提示 对 话 框 


9.9 组 策略 概述 


组 策略 是 AD 目录 服务 中 的 结构 ,可 定义 将 自动 应 用 到 AD 中 的 用 户 和 计算 机 账户 的 
默认 设置 。 组 策略 常用 于 在 用 户 或 计算 机 集合 上 强制 设置 一 些 配 置 ,使 多 台 计 算 机 具有 统 
一 的 桌面 环境 .计算 机 启动 /关机 所 执行 的 脚本 文件 .用户 登录 /注销 所 执行 的 脚本 文件 等 。 

组 策略 设置 实际 上 就 是 修改 注册 表 中 的 配置 ,不 过 ,组 策略 使 用 了 更 完善 的 管理 组 织 方 
法 , 比 手工 修改 注册 表 要 方便 灵活 得 多 ,功能 也 更 加 强大 。 

组 策略 不 仅 应 用 于 用 户 和 客户 端 计 算 机 ,还 应 用 于 成 员 服 务 器 \ 域 控制 器 以 及 管理 范围 
内 的 任何 Windows 2000/XP/Server 2003 计算 机 。 组 策略 不 会 影响 没有 加 入 域 的 用 户 和 
计算 机 。 


9.9.1 组 策略 的 作用 


(1) 方便 地 管理 AD 中 的 计算 机 和 用 户 。 包 括 用 户 桌 面 环境 设置 .计算 机 启动 /关机 与 
用 户 登 录 / 注 销 时 所 执行 的 脚本 文件 、 软 件 分 发 .软件 限制 .安全 设置 等 。 组 策略 通过 活动 目 
录 可 以 对 域 中 的 用 户 和 计算 机 进行 管理 (图 9-68) 。 

(2) 对 域 设 置 组 策略 ,可 以 影响 整个 域 的 工作 环境 ;对 OU 设置 组 策略 ,可 以 影响 OU 
下 的 工作 环境 。 

(3) 提高 工作 效率 ,防止 不 正确 的 配置 。 组 策略 只 需要 设置 一 次 ,相应 的 用 户 或 计算 机 
就 可 以 全 部 使 用 规定 的 配置 ,同时 防止 用 户 不 正确 配置 环境 的 情况 。 

(4) 推行 计算 机 使 用 规范 。 通 过 组 策略 的 设置 ,统一 用 户 桌 面 规范 、 统 一 实施 安全 
策略 。 
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9.9.2 组 策略 的 结构 


组 策略 的 结构 如 图 9-69 所 示 。 说 明 如 下 。 


起 
i 
” 


图 9-68 组 策略 对 计算 机 和 用 户 的 管理 方式 图 9-69 组 策略 结构 图 


(1) 组 策略 的 具体 设置 数据 保存 在 GPO 中 。GPO(Group Policy Object, 组 策略 对 象 ) 
是 组 策略 设置 的 集合 ,实质 上 是 由 组 策略 对 象 编辑 器 创建 的 文档 。 

(2) 系统 有 两 个 默认 的 GPO: 默认 域 策 略 和 默认 域 控制 器 策略 。 默 认 域 策略 与 域 连 
接 , 通 过 策略 继承 影响 域 中 所 有 用 户 和 计算 机 (包括 作为 域 控制 器 的 计算 机 )。 

默认 域 控制 器 策略 与 域 控制 器 OU 链接 ,只 影响 域 控制 器 ,因为 域 控制 器 的 用 户 和 计算 
机 单独 保存 在 域 控制 器 OU 中 。 

(3) GPO 所 链接 的 对 象 是 SDOU。 即 Site( 站 点 )、Domain( 域 ) 和 Organizational Unit 
(组 织 单位 )。 

AD 中 的 站 点 是 从 物理 上 抽象 的 概念 ,由 一 个 或 几 个 通过 高 速 连接 在 一 起 的 IP 子 网 组 
成 。 一 个 站 点 可 以 包括 多 个 域 , 一 个 域 中 也 可 以 包括 多 个 站 点 。 站 点 的 主要 作用 是 优化 复 
制 ,使 用 户 能 使 用 可 靠 .高速 的 连接 登录 到 域 控制 器 上 。 

(4) GPO 控制 SDOU 中 的 用 户 和 计算 机 。 


9.9.3 组 策略 对 象 及 其 存储 


1. 组 策略 对 象 


有 两 种 组 策略 对 象 : 本 地 组 策略 对 象 和 非 本 地 组 策略 对 象 。 

(1) 本 地 组 策略 对 象 。 任 何 运行 Windows 2000/XP/Server 2003 操作 系统 的 计算 机 都 
只 有 一 个 本 地 组 策略 对 象 。 在 这 些 对 象 中 ,组 策略 设置 存储 在 各 个 计算 机 上 ,无 论 它们 是 否 
属于 AD 环境 或 网 络 环境 的 一 部 分 。 

在 AD 环境 中 ,本 地 组 策略 的 设置 可 以 被 非 本 地 组 策略 的 设置 覆盖 。 因 此 ,在 AD 环境 
中 其 影响 力 很 小 。 而 在 无 AD 的 环境 中 ,本 地 组 策略 的 设置 就 非常 重要 。 

打开 本 地 GPO 有 以 下 两 种 方法 。 

方法 一 : 选择 [开始 】 人 运行 了 命令 .在 弹出 的 [运行 3 对话 框 中 输入 MMC。 打 开 【 控 制 台 1】 
窗口 (图 9-70) ,在 菜单 栏 选择 [文件 MA【 添 加 /删除 管理 单元 命令 ,打开 【添加 /删除 管理 单元 】 
对 话 框 (图 9-71) , 单 击 【 添 加 3 按钮 ,打开 【添加 独立 管理 单元 〗 对 话 框 (图 9-72) ,在 列表 中 选择 
需要 添加 的 管理 单元 ,然后 单 击 【添加 了 按钮 ,执行 多 次 选择 与 添加 操作 ,将 需要 添加 的 管理 单 
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元 添加 到 控制 台中 ,然后 单 击 【关闭 按钮 。 返 回 上 一 级 对 话 框 , 单 击 【确定 了 按钮 ,返回 
【控制 台 1 了 窗口 ,可 以 看 到 添加 的 管理 单元 出 现在 控制 台 树 中 (图 9-73)。 在 菜单 栏 选择 【 文 
件 了 保存 了 命令 ,可 以 保存 控制 台 1。 或 者 在 菜单 栏 选择 [文件 ] 代 另存 为 命令 ,将 控制 台 保存 
到 更 容易 查找 的 地 方 (如 我 的 文档 ) ,起 一 个 更 容易 辨认 的 名 字 ( 如 本 地 GPO 控制 台 ) 。 


| 还 加 /型 附 生理 # 元 SR 和 | 
独立 | 扩展 | 


休 控制 台 ! - [控制 台 根 节点 ] Wy . 
入 文件 四 换 作 他 查看 WJ)。 收藏 天 QQ) 窗口 大助) | =|5 
+* || 四 | 胞 | 多国 
所 EI I 

此 视图 中 没有 可 显示 的 项 目 。 


图 9-70 【控制 台 1] 窗 口 图 9-71 【添加 /删除 管理 单元 ] 对 话 框 


十 加 各 立 生理 站 元 | 
9 控制 台 1 - [控制 台 根 节点 \ 计 算 机 管理 (林地 亲 
食 文件 中。 换 作 他 查看 四。 收 若 丈 中) 窗口 和 帮助 人 0 |=lel xl 
中 | 外 | 加 | 贸 妃 | 包 团 
卓 控制 台 根 节点 
田地 hctive Directory 用 户 和 计算 机 
由 DRS 
田 都 讶 要 管理 本地) 
DIS Merosoft Corpora. 由 
名 Internet 验证 服务 AS) Merosoft Corpore. 让 加 事件 者 各 中 地 ) 
起 二 安全 第 略 管理 用 crosoft Corpora. 
es 下 
描述 
Allows you to configure the .HET Framework 1.1 
| 


图 9-72 【添加 独立 管理 单元 对 话 框 图 9-73 添加 管理 单元 后 的 [控制 台 1 窗口 


这 种 方法 可 以 按 需 要 添加 管理 单元 到 控制 台 进 行 集中 管理 。 

方法 二 : 选择 [开始 【运行 ] 命 令 , 在 弹出 的 [运行 3 对话 框 中 输入 gpedit. msc 命令 。 
打开 【组 策略 编辑 器 了 窗口 (图 9-74) ,在 左 侧目 录 树 中 包括 了 所 有 本 地 计算 机 策略 选项 。 
(2) 非 本 地 组 策略 对 象 。 存 储 在 DC 中 的 非 本 地 组 策略 对 象 只 能 在 AD 环境 下 使 用 。 
它们 可 以 影响 到 与 组 策略 对 象 相关 联 的 站 点 , 域 和 OU 中 的 用 户 和 计算 机 。 


2. 组 策略 对 象 的 存储 


GPO 的 策略 设置 信息 存储 在 两 个 位 置 : 组 策略 容器 和 组 策略 模板 。 组 策略 容器 是 包 
含 GPO 属性 和 版 本 信息 的 活动 目录 对 象 ; 组 策略 模板 是 GPO 存储 域 的 域 控制 器 文件 夹 。 
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文件 如 ”操作 @) 查看 如 帮助 
+* 小 || 国 | 贸 基 | 岛 困 


后 “本 地 计算 机 ”策略 


田 国 Windows 设置 
由 - 国 管理 模板 


图 9-74 【组 策略 编辑 器 窗口 


9.9.4 组 策略 配置 类 型 


应 用 组 策略 时 存在 两 种 配置 类 型 : 计算 机 配置 和 用 户 配置 。 
1. 计算 机 配置 


计算 机 配置 用 于 管理 控制 计算 机 特定 项 目的 策略 ,包括 桌面 外 观 、 安 全 设置 ,操作 系统 
下 运行 .文件 部 署 .应 用 程序 分 配 、 计 算 机 启动 和 关机 脚本 运行 。 这 些 配置 应 用 到 特定 的 计 
算 机 上 , 当 该 计算 机 启动 后 ,自动 应 用 设置 的 组 策略 。 

打开 方式 为 : 选择 [开始 】 人 程序] 人 [管理 工具 Active Directory 用 户 和 计算 机 命令 , 打 
开 【Active Directory 用 户 和 计算 机 窗口 (图 9-75) ,在 域名 (如 teach. com) 上 碳 击 ,在 弹出 的 快 
捷 菜 单 上 选择 [属性 】 命 令 , 打 开 【teach. com 属性 对 话 框 ,选择 【组 策略 3 选项 卡 (图 9-76)。 单 
击 【编辑 了 按钮 ,打开 【组 策略 编辑 器 了 窗口 (图 9-77) ,在 左 侧 窗口 的 目录 树 中 ,可 以 看 到 计算 机 
配置 选项 。 


各 Active Directory 用 户 和 计算 机 
过 文件 四” 扣 作 WW) 查看 WW 窗口 WD 天助 人 D 
+ 少 | 生 | 四 | 询 | 儿 日 区 | 久 团 | 淄 讼 闻 了 了 公 名 


Built 
和 自 Ba Default co 
由 国 Domain Controller| 团 Domsin Control. Default co 


和 由- 国 PoreignSecurityPr 汪 ?ToreimSecurit. .容器 Default co 
国 Vsers Default co 


图 9-75 【Active Directory 用 户 和 计算 机 3 窗口 
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teach_ com 屋 性 | 


列表 中 较 高 位 置 的 组 策略 对 象 具有 最 高 的 忧 先 权 。 
由 2003E-DC02. teach com 获得 这 一 列表 


新 建 季 | mw... | 编 得 下 ) | EV 
选项 o). | 开除 思 | 属性 全) | [EM 


厂 阻止 策略 继承 @) 


| 
图 9-76 【teach. com 属性 ] 对 话 框 
hh 组 策略 编辑 器 -lolxl 


文件 到 操作 () 查看 WW) 帮助 0 
人 外 || 四 | 罗 区 | 岛国 


国 Windows 设置 
国 管理 模板 

日 埠 用 户 配置 
由 - 国 软件 
国 Windows 设置 
田 - 国 管理 模板 


图 9-77 【组 策略 编辑 器 窗口 


计算 机 配置 包括 下 面 三 种 设置 。 

(1) 软件 设置 。 包 含 适用 于 登录 到 该 计算 机 的 所 有 用 户 的 软件 设置 ,主要 包括 软件 安 
装 设置 。 

(2) Windows 设置 。 包 含 适用 于 登录 到 该 计算 机 的 所 有 用 户 的 Windows 设置 ,主要 包 
括 脚本 和 安全 设置 ,详细 选项 如 图 9-78 所 示 。 

(3) 管理 模板 。 管 理 模板 包含 注册 表 设 置 ,其 详细 选项 如 图 9-79 所 示 。 


2. 用 户 配置 
用 于 管理 控制 更 多 用 户 特定 项 目的 管理 策略 ,包括 应 用 程序 配置 .桌面 配置 .应 用 程序 
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分 配 、 计 算 机 启动 和 关机 脚本 运行 等 。 当 用 户 登 录 到 计算 机 时 ,就 会 应 用 用 户 配 置 组 策略 。 
当 计算 机 配置 和 用 户 配置 发 生 冲 突 时 ,用 户 策略 将 覆盖 计算 机 策略 。 


外 -如 客 码 策略 
田 吐 账 己 锁 定 策略 


Kerberos 策略 


由 - 国 Yindows 时 间 服务 
田 国 Internet 通信 管理 
四 - 国 分 布 式 co 

网 络 


et 下 
二 » 


图 9-79 【计算 机 配置 的 【管理 模板 选项 


四 中 软件 限制 策略 
和 
上 


图 9-78 【计算 机 配置 3 的 [Windows 设置 3 选项 
参考 1" 计算 机 配置 "的 步骤 打开 如 图 9-77 所 示 的 窗口 ,在 左 侧 窗口 目录 树 中 ,可 以 看 到 


用 户 配置 选项 。 
(1) 软件 设置 。 无 论 用 户 使 用 哪 台 计算 机 都 适用 的 软件 设置 ,主要 包括 软件 安装 设置 。 


(2) Windows 设置 。 无 论 用 户 使 用 哪 台 计 算 机 都 适用 的 Windows 设置 ,其 详细 选项 如 
图 9-80 所 示 。 

(3) 管理 模板 。 管 理 模板 包含 注册 表 设 置 ,其 详细 选项 如 图 9-81 所 示 。 
日 司 


回 Yindows 组 件 
国 任务 栏 和 「 开 始 」 菜单 
国 点 面 


田 


日 锚 Internet Explorer 维护 
浏览 器 


户 界 面 
国 CtrltMttDel 选项 
国 登录 


生 组 策略 
辐 电源 管理 
田 -图 Internet 通信 管理 司 
» 


图 9-80 【用 户 配置 3 的 [Windows 设置 3 选项 图 9-81 【用 户 配 置 ] 的 [管理 模板 选项 


9.10 组 策略 对 象 的 管理 


组 策略 对 象 (GPO) 的 管理 包括 创建 组 策略 .设置 组 策略 .委托 GPO 管理 控制 .链接 已 
存在 的 GPO 删除 GPO 链接 、 删 除 GPO。 
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9.10.1 创建 组 策略 


台 计 算 机 只 有 一 个 本 地 组 策略 ,对 于 本 地 组 策略 只 能 编辑 ,无 法 创建 。 而 对 于 域 或 
OU, 可 以 创建 多 个 组 策略 。 创 建 OU 的 组 策略 的 步骤 如 下 : 
(1) 以 Administrator 账户 登录 系统 (建议 采用 Windows Server 2003 R2 EnterPrise 
Edition) ,选择 5 开始] 人 程序 】[ 管 理工 具 ] [Active Directory 用 户 和 计算 机 命令 ,打开 【Active 
Directory 用 户 和 计算 机 了 窗口 (图 9-82) 。 在 teach. com 域 中 添加 名 为 stuOU 的 组 织 单位 。 


地 文件 加“ 损 作 人 0 查看 WW 窗口 思 。 帮助 四 | 本 
四 | 涩 记 关 了 @ 富 


外 - 辐 Builtin 
由 回 Conputers ~ Defanlt co 
由 图 Domain Controller|| 图 Domsin Control. Default co 


由 四 Porsimsecaritypr|| 国 Perwiemseeit .容器 Default co 
vsers 容 | 


Default co 


图 9-82 【Active Directory 用 户 和 计算 机 窗口 


(2) 在 左 侧 窗口 的 目录 树 中 ,选择 需要 创建 组 策略 的 stuOU 组 织 单位 , 右 击 ,在 弹出 的 
快捷 菜单 中 选择 【属性 了 命令 (图 9-83) ,打开 【stuOU 属性 】 对 话 框 , 选 择 【 组 策略 ] 选 项 卡 
(图 9-84) 。 


地 文件 四 “的 作 由 查看 轴 。 窗口 史 。 帮助 0 | 
中 省 | 知 | 四 |% 暗 |XX 欠 日 刀 | 久 团 | 涩 记 多 了 @ 训 


0 个 对 象 


日 收 teach cm 
外国 Builtin 此 视图 中 没有 可 显示 的 项 目 。 
日 computers 
图 Domain Controller: 
ForeigSecurityPr: 


回 
田口 Vsers 委派 控制 加 
移动 四， 


图 9-83 选择 stuOU 组 织 单位 的 [属性 命令 
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(3) 单 击 【 新 建 ] 按 钮 ,在 【组 策略 对 象 链接 文本 框 中 输入 新 的 组 策略 名 称 : stuOU 


Policy( 图 9-85) , 即 创建 了 一 个 名 为 stuOU Policy 的 GPO。 单 击 【 确 定 ] 按 钮 完成 设置 , 即 
将 stuOU Policy 组 策略 应 用 到 stuOU 组 织 单位 。 


EE | 
第 规 | 管理 者 | co 。 组 第 略 | 党 规 | 管理 者 | com 。 起 第 咯 | 

要 改进 组 第 略 管理 ,请 着 线 名 组 策略 管理 控制 台 (GPHC)。 要 改进 组 策略 管理 ， 请 升级 到 | 组 策略 管理 控制 台 (GPHC) 

a stuDV 的 当前 由 第 咯 对 象 链接 三 9$ :taDv 的 当前 组 策略 对 象 链接 


轨 Etuov Policy 


列表 中 


较 高 位 置 的 组 策略 对 象 具有 晤 高 的 优先 权 。 列表 中 较 高 位 置 的 组 策略 对 象 具有 最 高 的 忧 先 权 。 
由 20038-DC02, teach. com 获得 这 一 列表 由 2003E-DC02. teach com 获得 这 一 列表 
新 建 虽 | 添加 由.. | 久光 四 | Ew | 添加 由. | 过 加 外 | ER 
| | 选项 加) | 出 队 中. | 属性 | Ty 
厂 阻止 策略 继承 @) 厂 阻止 第 路 继承 @) 
取消 应 有 | 关闭 村 酒 厅 用 而 
图 9-84 【stuOU 属性 对话 框 的 [组 策略 3 选项 卡 


图 9-85 输入 组 策略 名 称 : stuOU Policy 


9.10.2 设置 组 策略 


创建 了 GPO 后 ,需要 对 该 GPO 进行 设置 。 配 置 GPO 的 步骤 如 下 : 

(1) 在 如 图 9-85 所 示 的 【stuOU 属性 ] 对 话 框 中 ,选择 stuOU Policy 组 策略 对 象 , 单 击 
【编辑 ] 按 钮 ,打开 【组 策略 编辑 器 窗口 (图 9-86)。 在 左 侧 窗口 的 目录 树 中 ,可 以 选择 自己 
需要 设置 的 策略 选项 。 

说 组 策略 篇 辑 回 
文件 E) 操作” 查看) 才 助 吕 
全 小 || 四 | 轿 区 | 名 团 


图 9-86 【组 策略 编辑 器 窗口 (一 ) 
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(2) 例如 想 禁止 stuOU 组 织 单位 中 所 有 用 户 更 改 墙 纸 。 则 在 左 侧 窗口 的 目录 树 中 , 选 
择 [stuOU Policy] 人 用 户 配 置 3 民 管理 模板 人 控制 面板 ] 人 显示 选项 ,在 右 侧 详细 信息 列 
表 窗 格 中 选择 【阻止 更 改 墙纸 】 选 项 (图 9-87)。 从 图 中 [状态 ] 栏 可 以 看 到 该 选项 状态 为 “未 
被 配置 ”。 


口音 
国 Windows 设置 二 区 nm “ 显 
白 加 管理 模板 全 删除 “控制 面板 ”中 的 “ 显 
由 - 国 indows 组 件 要 求 
国 任务 栏 和 [开始 | 菜 | 至少 Microsoft Windows 2000 
- 国 桌面 


人 蚀 陷 总“ 点 面 " 选项 卡 


而 有 
日 -各 控制 面板 描述 人 鲁 隐 六 “设置 ” 选项 卡 
和 添加 或 删除 程序 防止 用 户 添加 或 更 改 梨 面 背景 。 -ee “屏幕 保护 程序 ”选项 卡 
各 时 和 Te 屏息 保护 程序 
上 是 用 到 请 用 中 可 以 和 二 控制 ”| 多 可 的 行 的 屏 在 3P 程 序 的 名 称 
C 项 卡 来 添加 桌面 增 纸 全 客 码 保护 屏息 保护 程序 
钱 屏 臣 保护 程序 超时 

如 果 您 启用 这 个 设置 ，“ 旧 面 " 选 

项 卡 切 会 出 现 ， 但 选项 卡 上 的 所 有 

选项 都 会 被 停 用 . 


耐用 WO us 工交 达 T 上 :二 二 


图 9-87 【组 策略 编辑 器 窗口 (二 ) 


(3) 双击 该 选项 ,打开 【阻止 更 改 墙纸 属性 】 对 话 框 , 选 择 【 已 启用 了 单 选 按钮 (图 9-88)， 
单 击 [确定 了 按钮 完成 设置 。 返 回 如 图 9-87 所 示 的 窗口 ,可 以 看 到 该 选项 的 状态 已 改 为 “已 
启用 ”"。 关 闭 【组 策略 编辑 器 窗口 ,关闭 【stuOU 属性 对话 框 。 
了 jx 
设置 | 说 明 | 
全 ew 


个 未 配置 中 ) 
«EB 
个 已 禁 用 吧 ) 


支持 于 : 至 少 Mierosoft Windows 2000 


图 9-88 【阻止 更 改 墙纸 属性 ] 对 话 框 
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(4) 运行 gpupdate 命令 ,刷新 组 策略 。 

(5) 将 stu001 账户 移动 到 stuOU 组 织 单位 中 。 打 开 如 图 9-82 所 示 【Active Directory 
用 户 和 计算 机 窗口 ,在 右 侧 详细 信息 列表 窗 格 中 选择 stu001 账户 , 右 击 ,在 弹出 的 快捷 菜 
单 中 选择 [移动 ] 命 令 ( 图 9-89) 。 打 开 【 移 动 ] 对 话 框 , 选 择 stuOU 选项 (图 9-90) , 单 击 【 确 
定 ] 按 钮 完成 设置 。 返 回 【Active Directory 用 户 和 计算 机 窗口, 在 左 侧目 录 树 中 选择 
stuOU 组 织 单位 ,在 右 侧 详细 信息 列表 窗 格 中 可 以 看 到 stu001 账户 已 被 移动 到 该 OU 中 
(图 9-91) 。 


所 Active Directory 用 户 和 计算 机 
志文 件 @， 操作 和) 查看 YY) 窗口 @。 帮助 0) 
守 少 | 甸 | 四 |% 敬 |X 办 四 区 | 名 国 | 当 


日 如 teach con 
由 -加 Builtin 
由 辐 Conputers 
由 图 Donain Controller: 
a Forei gSecurityPr: 
图 :tuoy 


Active Directory 用 户 和 /国宝 生生 二 
全 保存 的 查询 
日 获 teach cm @ 
由 - 国 Builtin 
多 Conputers 
由 -图 Domain Controller: 
由 - 国 ForeinSecurityPr 


国 puiltin 

国 Conputers 

{人们 Donain Controllers 

国 ForeigSecurityPrincipals 
i 

国 Vsers 


图 9-90 【移动 ] 对 话 框 图 9-91 将 stu001 账户 移动 到 stuOU 组 织 单位 中 


(6) 以 stu001 账户 登录 客户 端 ,尝试 更 改 桌面 墙纸 ,结果 失败 。 验 证 了 组 策略 的 作用 。 
9.10.3 委托 GPO 管理 控制 


创建 并 设置 GPO 后 ,需要 确定 哪些 用 户 和 组 对 GPO 拥有 访问 权限 。 默 认 的 GPO 权 
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限 如 下 : 

。 CREATOR OWNER 组 : 拥有 特别 的 权限 。 

。 Authenticated Users 组 : 拥有 读 、 应 用 组 策略 和 特别 的 权限 。 

。 Domain Admins 组 : 拥有 读 、 写 .创建 所 有 子 对 象 . 删 除 所 有 子 对 象 . 特 别 的 权限 。 

。 SYSTEM 组 : 拥有 读 、 写 .创建 所 有 子 对 象 、. 删 除 所 有 子 对 象 、 特 别 的 权限 。 

如 果 需 要 委托 某 用 户 ( 如 info001) 对 teach Policy 组 策略 有 读 取 和 应 用 组 策略 的 权限 。 
详细 操作 步骤 如 下 : 

(1) 打开 如 图 9-85 所 示 【stuOU 属性 对话 框 ,选择 stuOU Policy 组 策略 对 象 , 单 击 【 属 
性 了 按钮 ,打开 【stuOU Policy 属性 ] 对 话 框 ,选择 【安全 】 选 项 卡 (图 9-92) 。 

(2) 单 击 【 添 加 3 按钮 ,参考 9. 6. 2 小 节 的 步骤 ,添加 info001 账户 。 单 击 【 确 定 ] 按 钮 , 返 
回 【stuOU Policy 属性 ] 对 话 框 ,选中 Kinfo001 的 权限 列表 中 的 * 读 取 ” 和 “应 用 组 策略 ”选项 
的 [允许] 复 选 框 ( 图 9-93)。 单 击 【确定 了 按钮 返回 上 一 级 对 话 框 , 单 击 【确定 按钮 完成 对 
info001 账户 委托 组 策略 管理 的 设置 。 


本 本 加 到 
常规 | 链接 。 安全 | mr 第 选 器 | 常规 | 链接 ”安全 | wr 第 选 器 | 
姐 或 用 户 和 名称 @) 
给 CREATOR OWNEE BDonain Atnins (EACH\Donain Adnins) 
GR Donain Atnins (EACH\Donain Adnins) REnterprise Mdnins (TEACH\Enterprise Adnins) 
Enterprise Adnins (TEACH\Enterprise Adnins) RENERPRISE DOMAIN CONTROLLERS 
QR ENTERPRISE DONAIN CONTROLLERS @ ingo00! (info001@teach con) 
eM rm 到 Mr 
加 WwW... | _ WE) | 
Authenticated Users 的 权限 下 ) 允许 拒绝 
完全 控制 口 口 让 
读 职 回 口 
写 入 口 口 
创建 所 有 子 对 象 口 口 
删除 所 有 子 对 象 口 口 
应 用 组 第 略 回 口 加 | 
由 guontnpR mm ~ 
特别 权限 或 高 级 设置 ， 请 单 击 “ 高 级 ”。 高 级 四 


CW ] ws |_ maw | 
图 9-92 【stuOU Policy 属性 对 话 框 的 【安全 】 选 项 卡 图 9-93 ”选中 相应 选项 的 [允许] 复 选 框 


提示 : 可 以 使 用 [添加 】 或 [删除] 按钮 来 添加 或 删除 对 组 策略 有 权限 的 用 户 或 组 ; 
也 可 以 通过 对 【允许 或 【拒绝 ] 复 选 框 的 选中 或 取消 选择 操作 ,更 改 相 应 用 户 或 组 的 权限 。 


(3) 运行 gpupdate 命令 ,刷新 组 策略 。 
9.10.4 链接 已 存在 的 GPO 


如 果 已 经 建立 了 组 策略 ,要 将 组 策略 应 用 到 某 个 计算 机 或 用 户 上 , 则 通过 链接 GPO 操 
作 , 将 组 策略 应 用 到 站 点 , 域 或 组 织 单位 中 。 例 如 将 stuOU Policy 组 策略 链接 到 saleOU 组 
织 单位 。 详 细 操作 步骤 如 下 : 

(1) 打开 如 图 9-82 所 示 的 【Active Directory 用 户 和 计算 机 窗口 ,在 teach. com 中 添加 


Ey 


全 技 术 来 全 和 


名 为 saleOU 的 组 织 单位 。 选 择 该 组 织 单位 , 右 击 , 在 弹出 的 快捷 菜单 中 选择 【属性 了 命令 
打开 [saleOU 属性 ] 对 话 框 ,选择 [组 策略 ] 选 项 卡 (图 9-94) 。 


sale0V 尾 性 


图 9-94 【saleOU 属性 ] 对 话 框 的 [组 策略 ] 选 项 卡 


(2) 单 击 【添加 3 按钮 ,打开 【添加 组 策略 对 象 链接 对 话 框 ,选择 【全 部 〗 选 项 卡 (图 9-95)。 
在 【存储 在 本 域 中 的 所 有 组 策略 对 象 列 表 中 选择 要 链接 的 组 策略 对 象 stuOU Policy, 单 击 
【确定 3 按钮 ,返回 [saleOU 属性 ] 对 话 框 ,可 以 看 到 该 GPO 出 现在 【saleOU 的 当前 组 策略 对 
象 链接 列表 框 中 (图 9-96) 。 

(3) 单 击 [ 确 定 ] 按 钮 ,完成 设置 。 

(4) 运行 gpupdate 命令 ,刷新 组 策略 。 

(5) 验证 。 参 考 9. 10. 2 小 节 的 步骤 ,将 sale001 账户 移动 到 saleOU 组 织 单位 中 。 以 
sale001 账户 登录 客户 端 ,尝试 更 改 桌面 墙纸 ,结果 失败 。 证 明成 功 链接 了 已 存在 的 GPO。 


EE 


图 9-95 【添加 组 策略 对 象 链接 ] 对 话 框 的 [全 部 〗 选 项 卡 
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21x| 
常规 | 管理 者 | colt 。 组 策略 | 
要 改进 组 策略 曾 理 ,请 升级 到 组 第 略 管理 控制 台 (GPHC)。 


去 sale0V 的 当前 组 策略 对 象 链接 


ET 


列表 中 较 高 位 置 的 组 策略 对 象 具有 最 高 的 居 先 权 。 
由 2003E-DC02. teach. com 获得 这 一 列表 


_ 新建 如 | 添加 wD)... | 编辑 四 | Dl| 
选项 @). | 草 除 忆 . | 属性 EE) | 辣 记 人 | 


厂 阻止 策略 继承 @) 


图 9-96 添加 GPO 链接 后 的 【saleOU 属性 3 对话 框 


9.10.5 删除 GPO 链接 


删除 GPO 链接 就 是 将 GPO 与 指定 的 站 点 、 域 或 OU 之 间 的 链接 断 开 。GPO 仍然 保留 
在 AD 中 ,直至 被 删除 。 删 除 GPO 链接 的 步骤 如 下 : 

(1) 参考 前 面 的 步骤 ,打开 【Active Directory 用 户 和 计算 机 窗口 ,在 左 侧 窗 口中 选择 
想 要 断 开 链 接 的 站 点 , 域 或 OU( 如 saleOU), 布 击 ,在 弹出 的 快捷 菜单 中 选择 [属性 命令 ， 


打开 【saleOU 属性 】 对 话 框 的 【组 策略 】 选 项 CE ,> 


卡 ( 图 9-96) 。 CD 

(2) 在 [组 策略 对 象 链接 3 列表 中 选择 选 6 pe 
择 需 要 删除 的 GPO( 如 stuOU Policy) , 单 击 个 箭 队 久 接 并 本 组 策略 对 象 永 入山 除 ) 
【 圳 除 ] 按 钮 。 弹 出 [删除 ] 对 话 框 (图 9-97)， 了 


选择 【从 列表 中 移 除 链接 了 单 选 按钮 , 单 击 
【确定 了 按钮 。 

(3) 返回 【saleOU 属性 】 对 话 框 , 可 以 看 
到 stuOU Policy 组 策略 被 删除 了 。 单 击 【 关 闭 ] 按 钮 完成 设置 。 

(4) 运行 gpupdate 命令 ,刷新 组 策略 。 

提示 : 参考 9. 10.4 小 节 的 步骤 ,重新 打开 如 图 9-95 所 示 的 对 话 框 , 可 以 看 到 在 【存储 
在 本 域 中 的 所 有 组 策略 对 象 】 列 表 中 ,stuOU Policy 组 策略 对 象 仍然 存在 。 说 明 上 述 操作 只 是 
删除 了 stuOU Policy 组 策略 对 象 与 saleOU 组 织 单 位 的 链接 ,GPO 仍然 保留 在 AD 中 。 


图 9-97 【删除 ] 对 话 框 
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9.10.6 删除 GPO 


如 果 删 除 GPO, 即 从 AD 中 将 其 删除 ,那么 该 GPO 所 链接 的 任何 站 点 、 域 或 组 织 单位 
都 不 会 再 受到 它 的 影响 。 删 除 GPO 有 以 下 两 种 方法 。 

方法 一 : 参考 9. 10. 5 小 节 的 步骤 ,只 需 在 如 图 9-97 所 示 的 对 话 框 中 选择 【 移 除 链接 并 
将 组 策略 对 象 永久 删除 ] 单 选 按钮 即 可 。 

方法 二 : 参考 9. 10.4 小 节 的 步骤 ,在 如 图 9-95 所 示 的 对 话 框 中 选择 要 删除 的 GPO( 如 
stuOU Policy) , 右 击 ,选择 [删除 3 命令 (图 9-98) ,弹出 【删除 组 策略 对 象 〗 对 话 框 ( 图 9-99)。 
单 击 【是 了 按钮 ,返回 如 图 9-95 所 示 的 对 话 框 ,可 以 看 到 stuOU Policy 已 被 删除 (图 9-100) 。 

[| 渗 加 组 条 四 对象 链 接 了 xl 
域 /ous| 让 点 ”全 部 | 


查找 范围 四: [天 teseh cm 直入 继 图 - 


存储 在 本 域 中 的 所 有 组 策略 对 象 - 


Default Donain Controllers Policy 
DDefault Donain Policy 


TECH 
A 确定 要 永久 贡院 stuDU Policy 吗 ? 
EE so | 
图 9-98 ”利用 [添加 组 策略 对 象 链接 对 话 框 删除 GPO 图 9-99 【删除 组 策略 对 象 ] 对 话 杠 
| 示 加 组 笑 咯 对 多 链接 AAA 
域 /ous | 站 点 ”全 部 | 
查找 范围 由: | 嘟 ED 可 备 继 图 - 
存储 在 本 域 中 的 所 有 组 策略 对 象 - 


Default Domain Controllers 了 Policy 
DDefault Donain Policy 


图 9-100 删除 GPO 后 的 [添加 组 策略 对 象 链接 3 对 话 框 


区 注意 ; 如 果 要 删除 的 GPO 已 经 与 所 有 站 点 、 域 或 组 织 单位 无 链接 ,那么 只 有 采取 
方法 二 才能 将 其 从 AD 中 删除 。 


他 
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9.11 组 策略 应 用 规则 
组 策略 应 用 规则 包括 如 下 五 个 方面 : 继承 与 阻止 继承 .强制 生效 、 累 加、 应 用 顺序 和 筛选 。 
9.11.1 继承 与 阻止 继承 


1. 继承 


默认 情况 下 ,下 层 容器 会 继承 来 自 上 层 容器 的 GPO。 
例如 ,在 stuOU 组 织 单位 中 创建 名 为 studeOU 的 子 OU ,并 将 stu002 账户 移动 到 该 子 
OU 中 。 在 stuOU 组 织 单位 中 添加 创建 名 Er 3 
为 stuOU-2 Policy 的 GPO, 设 置 IE 主页 “mm | 者 |com 如 多 | 
URL 为 http://www. lzzy. net, 那 么 无 论 是 要 改进 姐 策略 管理 ， 请 升级 到 组 策略 营 理 控制 台 (GFNC)。 
stuOU 中 的 stu001 账户 ,还 是 studeOU 中 ey stuDV 的 当前 姐 策略 对 象 链接 
的 stu002 账户 ,登录 客户 机 后 ,IE 主页 地 址 
都 为 : http://www. lzzy. net。 详 细 操 作 步 二 stu0v Policy 
又 如 下 : 
(1) 以 Administrator 账户 登录 域 控制 
器 ,参考 9. 10. 3 小 节 的 步骤 ,创建 studeOU 子 【EC te ee 各 天 
容器 ,并 将 stu002 账户 移动 到 该 子 OU 中 。 Ew | msl 瑟 下 
(2) 参考 9. 10. 3 小 节 的 步骤 ,在 stuOU | 一 一 
组 织 单位 中 添加 创建 名 为 stuOU-2 Policy IE 
的 GPO( 图 9-101) , 单 击 【编辑 了 按钮 ,打开 sl w|il 
【组 策略 编辑 器 】 对 话 框 。 图 9-101 【stuOU 属性 ] 对 话 框 
(3) 在 左 侧 窗口 的 目录 树 中 ,选择 [用户 
配置 MA【Windows 设置 VA【Internet Explorer 维护 ] 人 KURL] 选 项 (图 9-102) 。 


文件 四 ”操作 人 查看 WD 帮助 0D 
所 字 | 名 | 因 | 要 | 多 
电 stuDU-2 Policy [2003E-DC02 到 | 


计算 机 配置 天 | 收 若 夹 和 链接 。 收藏 赤 和 链接 设置 
加 重要 URL 主页 、 搜 索 和 联机 支持 URL 设置 


图 9-102 【JInternet Explorer 维护 VA【URL】 选 项 


要 全 技术 琳 全 才 和 


(4) 双击 右 侧 详细 信息 列表 窗 格 中 的 【重要 URL] 选 项 ,打开 【重要 URL] 对 话 框 , 选 中 
【 自 定 义 主页 了 复 选 框 ,在 【主页 URL] 文 本 框 中 输入 : http://www. lzzy. net( 图 9-103)。 关 
闭 所 有 对 话 框 。 


图 9-103 【重要 URL] 对 话 框 


(5) 运行 gpupdate 命令 ,刷新 组 策略 。 
(6) 验证 。 以 stu002 账户 登录 客户 端 ,打开 
IE 浏览 器 ,可 以 看 到 默认 打开 的 主页 为 : http:// 


www. lzzy. net。 
2. 阻止 继承 


子 容器 可 以 阻止 上 级 的 组 策略 。 例 如 要 阻止 
studeOU 子 OU 继承 上 级 的 组 策略 , 则 步骤 如 下 : 

(1) 参考 9. 10. 3 小 节 的 步骤 ,打开 【studeOU 
属性 ] 对 话 框 的 【组 策略 〗 选 项 卡 , 选 中 [阻止 策略 继 “= 
承 ] 复 选 框 (图 9-104) , 单 击 [确定 3 按钮 即 可 。 

(2) 运行 gpupdate 命令 ,刷新 策略 。 

组 策略 继承 与 阻止 继承 规则 实例 设置 及 结果 ”图 9-104 【studeOU 属性 ] 对 话 框 的 


如 表 9-10 所 示 。 第 聊 了 六 项 下 
表 9-10 继承 与 阻止 继承 规则 实例 设置 及 结果 
stuOU 的 GPO 设置 是 否 继承 StudeOU 子 OU 的 有 效 设置 
stuOU-2 Policy 设置 为 : IE 主页 继承 IE 主页 URL 为 http://www. lzzy. net 
URL 为 http://www. lzzy. net 阻止 继承 正 主页 URL 不 为 http;//www. lzzy. net 


9.11.2 强制 生效 


和 


强制 生效 是 上 级 容器 强制 下 级 容器 执行 其 GPO 设置 。 
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例如 强制 studeOU 子 OU 继承 上 级 的 stuOU-2 Policy 组 策略 。 详 细 步 又 如 下 : 

(1) 参考 9. 11. 1 小 节 的 步骤 ,打开 如 图 9-101 所 示 的 【stuOU 属性 了 对 话 框 , 单 击 【 选 
项 按钮 ,打开 【stuOU-2 Policy 选项 ] 对 话 框 , 选 中 [禁止 替代 了 复 选 框 (图 9-105) 。 

(2) 单 击 【确定 按钮 ,返回 【stuOU 属性 ] 对 话 框 ,可 以 看 到 【组 策略 对 象 链接 列表 中 的 
【禁止 替代 7 选项 被 选中 (如 图 9-106)。 


[Etov Et 了 引导 


加 stuDy Policy 
t Pol ] 


stu0U-2 Policy 选项 


列表 中 较 高 位 置 的 组 策略 对 象 具有 最 高 的 忧 先 权 。 
由 2003E-DC02, teach com 获得 这 一 列表 


新 办 如 | 应 加 中) | _ 编 加 四 | 向 [四 
了 | 属性) | | 


厂 阻止 策略 继 承 到 ) 


图 9-105 【stuOU-2 Policy 选项 ] 对 话 框 图 9-106 【stuOU 属性 ] 对 话 框 


(3) 运行 gpupdate 命令 ,刷新 策略 。 
(4) 验证 。 以 stu002 账户 登录 客户 端 , 打 开 IE 浏览 器 ,可 以 看 到 默认 打开 的 主页 为 
http://www. lzzy. net, 即 子 OU 被 强制 继承 上 级 组 策略 。 


9.11.3 累加 


容器 的 多 个 组 策略 设置 如 果 不 冲 突 , 则 最 终 的 有 效 策略 是 所 有 组 策略 设置 的 总 和 ;容器 
的 多 个 组 策略 设置 如 果 冲 突 , 则 后 应 用 的 组 策略 覆盖 先 应 用 的 组 策略 。 

例如 ,stuOU 组 织 单位 的 stuOU Policy 组 策略 设置 了 禁止 用 户 更 改 桌 面 墙纸 ,该 OU 
的 stuOU-2 组 策略 设置 了 IE 主页 URL。 以 stu001 账户 登录 客户 端 ,可 验证 有 效 策略 是 所 
有 组 策略 设置 的 总 和 。 

如 果 修 改 stuOU Policy 组 策略 ,设置 IE 主页 为 : http://jpkc. lzzy. net/ 网 络 安全 技术 . 
html, 并 刷新 组 策略 。 在 客户 端 上 注销 stu001 账户 ,再 以 该 账户 重新 登录 ,打开 IE 浏览 器 ， 
可 以 看 到 默认 打开 的 主页 为 http://jpkc. lzzy. net/ 网 络 安全 技术 . html。 验 证 了 如 果 多 个 
组 策略 设置 冲突 , 则 后 应 用 的 组 策略 覆盖 先 应 用 的 组 策略 。 

组 策略 累加 规则 实例 设置 及 结果 如 表 9-11 所 示 。 
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表 9-11 策略 累加 规则 实例 设置 及 结果 


stuOU 的 GPO 设置 是 否 冲 突 stuOU 的 有 效 设 置 
stuOU Policy 设置 为 : 已 启用 “阻止 更 改 墙纸 ” 启用 “阻止 更 改 墙纸 ” 
第 1 次 | stuOU-2 Policy 设置 为 : IE 主页 URL 为 http:// 否 IE 主页 URL 为 http:// 
www. lzzy. net www. lzzy. net 


stuOU Policy 设置 (不 变 ) 
第 2 次 是 禁用 “阻止 更 改 墙纸 ” 
stuOU-2 Policy 设置 为 : 已 禁用 “阻止 更 改 墙 纸 ” 


9.11.4 应 用 顺序 


GPO 用 于 存储 组 策略 的 配置 信息 ,用 于 控制 对 站 点 、 域 和 OU 中 的 计算 机 及 用 户 的 设 
置 。 在 Windows Server 2003 中 有 本 地 组 策略 、 域 组 策略 、 域 控制 器 组 策略 和 OU 组 策略 。 
它们 的 应 用 顺序 如 图 9-107 所 示 ( 优 先 级 由 低 到 高 ) 。 

例如 ,在 studeOU 子 OU 中 创建 名 为 studeOU Policy 的 GPO, 设 置 启 用 “禁止 用 户 访 
问 控制 面板 ”。 在 stuOU 中 编辑 stuOU-2 Policy 组 策略 ,设置 禁用 “禁止 用 户 访问 控制 面 
板 ”。 按 如 下 步骤 操作 并 验证 策略 的 应 用 顺序 。 

(1) 参考 9. 10. 3 小 节 的 步骤 ,在 studeOU 组 织 单位 中 添加 创建 名 为 studeOU Policy 
的 GPO( 图 9-108) , 单 击 【编辑 了 按钮 ,打开 【组 策略 编辑 器 窗口 。 

[Bt 了 o 


第 珊 | 管理 者 | comt 各 策略 | 
要 改进 担 第 喀 管理 ,请 升级 到 上 第 史 管 理 控 制 GPHc)。 


二 stude0V 的 当前 组 策略 对 象 链接 


列表 中 较 高 位 置 的 组 第 略 对 象 具有 最 高 的 忱 先 权 。 
由 2003E-DC02. teach. com 获得 这 一 列表 
新 建 如 | 添加 .| ， 编辑 @) | EU 
本 | | 站 | | 域 | |2| | 二 选项 @) | 出 除 .| 属性) | 向 FW 
pl 
策 | “| 策 入 咎 策 厂 阻止 第 路 继承 @) 
略 略 略 
图 9-107 组 策略 顺序 图 9-108 【studeOU 属性 ] 对 话 框 


(2) 在 左 侧 窗 口 的 目录 树 中 ,选择 【用 户 配置 M【 管 理 模板 MM【 控 制 面板 】 选 项 
(图 9-109)。 
(3) 双击 右 侧 详细 信息 列表 窗 格 中 的 [禁止 访问 控制 面板 程序 3 选项 ,打开 【禁止 访问 控 
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姐 生 咯 纺 加 可 = 加 
文件 ”操作 和 查看 WD 天助 吕 


国 洒 加 或 删除 程序 
各 显示 


国 打 印 机 

国 区 域 和 语言 选项 

鲁 禁 止 访 问 控制 面板 未 被 配置 
鳃 隐 若 指定 的 控制 面板 程序 未 被 配置 
全 只 显示 指定 的 控制 面板 程序 未 被 配置 
鲁 强制 为 传统 的 控制 面板 样式 未 被 配置 


图 9-109 【用 户 配 置 3 代 管理 模板 人 控制 面板 选项 
制 面板 属性 ] 对 话 框 ,选择 [已 启用 ] 单 选 按钮 (图 9-110), 单 击 [ 确 定 ] 按 钮 ,关闭 所 有 对 
话 框 。 

站 


设置 | 说 明 | 
鱼 雪上 Ww 问 控制 面 


个 未 配置 C) 
«EEE 
个 已 禁用 由) 


支持 于 ; 至 少 Mierosoft Windows 2000 


上 一 设置 到) | 下 一 设置 中 


图 9-110 【禁止 访问 控制 面板 属性 ] 对 话 框 


(4) 参考 上 述 方法 ,在 stuOU 组 织 单位 中 ,设置 stuOU-2 Policy 的 GPO 为 : 已 禁用 “ 禁 
止 访问 控制 面板 ”。 

(5) 运行 gpupdate 命令 ,刷新 组 策略 。 

(6) 验证 。 以 stu002 账户 登录 客户 端 ,尝试 访问 控制 面板 失败 。 说 明子 OU 的 应 用 顺 
序 高 于 OU 的 应 用 顺序 。 

组 策略 应 用 顺序 实例 设置 及 结果 如 表 9-12 所 示 。 
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表 9-12 组 策略 应 用 顺序 实例 设置 及 结果 


组 策略 设置 是 否 冲突 StudeOU 子 OU 的 有 效 设置 
先 设置 子 OU 组 策略 ,studeOU Policy 设置 为 : 已 启用 
“禁止 用 户 访 问 控制 面板 ” 
启用 “禁止 用 户 访问 控 w 
后 设置 0U 组 策略 ,suOU2 Policy 设置 为 ;已 禁用 " 禁 | 。 是 EE 
止 用 户 访问 控制 面板 ” 


9.11.5 筛选 


筛选 可 以 阻止 一 个 GPO 应 用 于 容器 内 的 特定 计算 机 和 用 户 。 

例如 ,在 teach. com 域 中 创建 名 为 teach Policy 的 GPO, 设 置 启 用 “禁止 用 户 访 问 控 制 
面板 ”, 并 要 求 info 组 的 用 户 账户 除外 。 详 细 操作 步骤 如 下 : 

(1) 参考 9. 10. 3 小 节 的 步骤 ,在 teach. com 域 中 添加 创建 名 为 teach Policy 的 GPO 
(图 9-111) ,参考 9. 11. 4 小 节 的 步骤 ,在 该 GPO 中 设置 启用 “禁止 用 户 访问 控制 面板 ”。 

(2) 返回 如 图 9-111 所 示 的 对 话 框 后 , 单 击 [属性 按钮 ,在 打开 的 【teach Policy 属性 ] 对 
话 框 中 选择 【安全 】 选 项 卡 (图 9-112) 。 


习 到 
了 到 帘 吉 | 儿 扩 安全 |mr 和 中] 
常规 | 管理 者 组 策略 | 姐 或 用 户 名 称 6) : 


RCREATOR omER 
Donain Adnins (TEACH\Donain Adnins) 
Enterprise Adanins (TEACH\Enterprise Adnins) 


BENERFPRISE DOWAIN CONTROLLERS 


一 | 
Default Donain Policy 添加 由 ) | 删除 明 ) 
ET 
Anthenticated Users 的 权限 下) 区 许 拒绝 
口 口 
司 
列表 中 较 高 位 置 的 组 策略 对 象 具 有 最 高 的 姑 先 权 。 写 入 口 口 
由 2003E-DC02, teach con 获得 这 一 列表 创建 所 有 子 对 象 口 口 
删除 所 有 子 对 象 口 口 
9 | | 汰 : 3 
= = 特别 权限 或 高级 设置 请 单 击 “ 高 级 ”。 sew | 
厂 阻止 策略 继承 @) 
Wm | 二 
图 9-111 【teach. com 属性 对 话 框 的 图 9-112 【teach Policy 属性 对 话 框 的 
【组 策略 3 选项 卡 【安全 】 选 项 卡 (一 ) 


(3) 单 击 【 添 加 按钮 ,参考 9. 6. 2 小 节 的 步骤 ,选择 info 组 ,返回 上 级 对 话 框 ,确认 在 
【组 或 用 户 名 称 】 列 表 中 选择 info 组 .然后 在 Kinfo 的 权限 列表 中 选中 【应 用 组 策略 〗 选 项 的 
【拒绝 ] 复 选 框 (图 9-113) , 单 击 【确定 ] 按 钮 ,关闭 所 有 对 话 框 。 

(4) 运行 gpupdate 命令 ,刷新 组 策略 。 

(5) 验证 。 以 info 组 的 info002 账户 登录 客户 端 ,尝试 打开 控制 面板 ,如 果 成 功 , 说 明 通 
过 筛选 设置 ,阻止 了 teach. com 域 的 策略 应 用 于 info 组 的 所 有 用 户 。 


《 轴 
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第 规 | 链接 安全 |m 第 二 器 | 


Enterprise hdnins (EACH\Enterprise Adnins) 
BR ENTERPRISE now CONTROLLERS 


图 9-113 【teach Policy 属性 ] 对 话 框 的 [安全 】 选 项 卡 (二 ) 


9.12 利用 组 策略 限制 软件 的 执行 
9.12.1 软件 限制 策略 概述 


软件 限制 策略 旨 在 满足 控制 未 知 或 不 信任 的 软件 的 需求 。 随 着 网 络 、Internet 以 及 电 
子 邮件 在 商务 计算 方面 的 使 用 日 益 增多 ,用户 发 现 他 们 经 常会 遇 到 新 软件 。 用 户 必 须 不 断 
作出 是 否 该 运行 未 知 软件 的 决定 。 病 毒 和 特洛伊 木马 经 常 故意 地 伪装 自己 以 骗 得 用 户 的 运 
行 。 要 用 户 做 出 安全 的 选择 来 确定 应 运行 的 程序 是 非常 困难 的 。 

使 用 软件 限制 策略 ,可 通过 标志 并 指定 允许 运行 的 软件 来 保护 计算 机 环境 免 受 不 信任 
软件 的 侵袭 。 可 以 为 GPO 定义 “不 受 限 的 ”或 “不 允许 的 ”的 默认 安全 级 别 , 从 而 决定 是 否 
在 默认 情况 下 允许 软件 运行 。 通 过 为 特定 软件 创建 软件 限制 策略 规则 ,可 以 对 默认 安全 级 
别 作出 例外 安排 。 例 如 ,如 果 将 默认 的 安全 级 别 设 为 “不 允许 的 ”, 则 可 以 创建 允许 运行 特定 
的 软件 的 规则 。 

使 用 软件 限制 策略 可 以 实现 以 下 目的 。 

(1) 控制 软件 在 系统 中 的 运行 能 力 。 例 如 ,担心 用 户 在 电子 邮件 中 收 到 病毒 ,可 以 应 用 
策略 设置 不 允许 某 些 文件 类 型 在 电子 邮件 程序 的 附件 目录 中 运行 。 

(2) 允许 用 户 在 多 用 户 计算 机 上 仅 运 行 特定 文件 。 例 如 ,在 计算 机 上 有 多 个 用 户 , 可 以 
设置 软件 限制 策略 : 除 用 户 工作 所 需 的 特定 文件 外 ,他 们 不 能 访问 任何 软件 。 

(3) 决定 可 以 在 计算 机 中 添加 信任 的 发 布 者 的 用 户 。 

(4) 控制 软件 限制 策略 是 作用 于 所 有 用 户 ,还 是 仅 作 用 于 计算 机 上 的 某 些 用 户 。 

(5) 阻止 任何 文件 在 本 地 计算 机 、 组 织 单位 、 站 点 或 域 中 运行 。 例 如 ,系统 中 存在 已 知 
病毒 , 则 使 用 软件 限制 策略 阻止 计算 机 打开 含有 这 些 病毒 的 文件 。 
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利用 组 策略 限制 软件 执行 的 方法 有 两 种 : 利用 【不 要 运行 指定 的 Windows h 


选项 和 利用 [软件 限制 策略 3 选项 。 


9.12.2 利用 【不 要 


利用 【不 要 运行 指定 的 Windows 

(1) 以 Administrator 账户 登录 域 控制 
器 ,参考 前 面 的 步骤 ,在 stuOU 组 织 单位 中 创 
建 名 为 “限制 软件 执行 ?的 GPO( 图 9-114) 。 
单 击 【编辑 了 按钮 ,打开 【组 策略 编辑 器 了 窗口 。 

(2) 在 左 侧 窗 口 的 目录 树 中 ,选择 【用 
户 配置 3 伙 管 理 模板 人 系统 选项 ,在 右 侧 
详细 信息 列表 窗 格 中 选择 【不 要 运行 指定 
的 Windows 应 用 程序 ] 选 项 (图 9-115) , 双 
击 , 打 开 【 不 要 运行 指定 的 Windows 应 用 程 
序 属性 了 对 话 框 ,选择 【已 启用 了 单 选 按钮 
(图 9-116)。 

(3) 单 击 【 显 示 】 按 钮 ,打开 【显示 内 容 】 
对 话 框 。 单 击 【 添 加 ] 按 钮 ,在 【添加 项 目 】 
对 话 框 中 输入 需要 限制 执行 的 文件 名 。 例 
如 禁止 stuOU 组 织 单位 中 所 有 用 户 执行 
QQ2009 ,而 该 软件 的 执行 文件 为 QQ. exe。 


应 用 程序 】 


运行 指定 的 Windows 应 用 程序 】 选 项 限制 软件 的 执行 


应 用 程序 】 选 项 限制 软件 的 步骤 如 下 : 


zx 
常规 | 管理 者 | coq+ 。 组 策略 | 
要 改进 组 策略 管理 ， 请 升级 到 组 策略 管理 控制 台 (GPHC)。 


三 全 。 staov 的 当前 组 第 略 对 象 链接 


二 stuU Policy 
本 :star2 Policy v 


列表 中 较 高 位 置 的 组 策略 对 象 具 有 最 高 的 居 先 权 。 

由 2003E-DC02 teach com 获得 这 一 列表 

添加 .| _ 编辑 向 上 Ww 
选项 四 | 出 除 中 .| 属性 双 ) 再 


图 9-114 【stuOU 属性 ] 对 话 框 


那么 就 输入 QQ. exe( 图 9-117) , 单 击 【确定 】 


按钮 ,返回 上 级 对 话 框 ,可 以 看 到 “QQ. exe” 出 现在 【不 允许 的 应 用 程序 的 列表 】 列 表 框 中 


《图 9-118)。 


文件 下) ”操作 人 查看 WD 帮助 0 


外 沾 | 向 | 四 | 锋 隐 | 锯 国 


号 限制 软件 执行 [2003F-DC02. 到 


国 Yindows 设置 
日 国 管理 模板 
国 tindows 组 件 
国 任务 栏 和 [开始 ] 
国 点 面 


描述 
防止 Windows 运行 您 在 这 个 设置 中 
指定 的 程序 。 


如 果 启 用 这 个 设置 , 用 户 则 无 法 运 
A 


人 Windows 
不 阻止 用 


资源 管理 器 启动 的 程序 ， 


不 要 运行 指定 的 Windows 应 用 程 性 时 
序 2000 年 份 转译 


天 全 配置 驱动 程序 查找 位 置 
设备 驱动 程序 的 代码 签名 
铺 | 自 定义 用 户 界面 
鲁 阻 止 沪 问 命令 提示 符 
鲁 阻 止 访问 注册 表 编 辑 工 具 
运行 t 的 Windows 和 


多 

使 下载 于 失 的 coll 姐 件 

包 rinaovs 自动 更 新 

鳃 关闭 Windows Update 设备 驱动 


了 村 


i 
辐 间 入 扩展 你 下 大 


图 9-115 【组 策略 编辑 器 窗口 
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图 9-116 【不 要 运行 指定 的 Windows 应 用 程序 属性 ] 对 话 框 


9-117 【添加 项 目 ] 对 话 框 


9-118 “QQ. exe” 出 现在 [不 允许 的 应 用 程序 的 列表 】 列 表 框 中 


(4) 单 击 【 确 定 ] 按 钮 ,返回 上 级 对 话 框 。 青 次 单 击 【 确 定 ] 按 钮 ,返回 【stuOU 属性 ] 对 话 
框 , 单 击 【 关 闭 ] 按 钮 即 可 。 

(5) 运行 gpupdate 命令 ,刷新 组 策略 。 

(6) 以 stu002 账户 登录 客户 端 ,尝试 执行 QQ. exe 文件, 弹出 [限制 ] 对 话 框 ( 图 9-119)， 


提示 操作 被 限制 。 
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CEE > 
@ 本 次 控 作 直 于 这 各 计算 机 的 限制 而 被 取消 。 请 与 的 系统 芝 理 员 联 系 。 
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图 9-119 【限制 ] 对 话 框 


此 方法 存在 不 足 之 处 : 如 果 用 户 改变 程序 的 文件 名 ,例如 将 QQ. exe 改变 QQ2009. 
exe, 则 可 以 避 开 此 策略 的 限制 了 。 为 了 防止 这 种 情况 ,必须 采用 下 面 介绍 的 另 一 种 方法 。 


9.12.3 利用 [软件 限制 策略 3 选项 限制 软件 的 执行 


系统 默认 的 安全 等 级 是 所 有 软件 都 没有 限制 , 即 只 要 用 户 对 想 执 行 的 软件 拥有 适当 的 
访问 权限 就 能 执行 它 。 但 可 以 通过 四 种 规则 建立 例外 的 安全 等 级 ,以 便 限 制 用 户 执行 所 指 
定 的 软件 ,这 些 规则 包括 哈 希 规则 .证 书 规则 .路径 规则 和 Internet 区 域 规则 等 。 利 用 【软件 
限制 策略 3 选项 限制 软件 的 执行 需要 用 到 哈 希 规则 ,因此 在 此 只 介绍 哈 希 规则 。 

哈 希 Chash) 是 根据 软件 程序 (文件 ) 的 内 容 计 算出 来 的 一 串 字 节 , 不 同 的 软件 必定 有 不 
同 的 喻 希 值 ,因此 可 以 用 此 值 来 辨别 不 同 的 软件 。 

为 某 个 软件 建立 哈 希 规则 后 ,系统 会 为 该 软件 计算 出 其 哈 希 值 。 当 用 户 执行 此 软件 时 ， 
用 户 的 计算 机 会 自动 重新 计算 其 哈 希 值 ,对比 该 哈 希 值 与 软件 限制 中 的 哈 希 值 ,如 果 相 同 ， 
则 拒绝 此 软件 执行 。 即 使 用 户 改变 软件 的 名 称 或 移动 到 别 的 地 方 , 该 软件 的 哈 希 值 都 不 会 
改变 ,因此 该 软件 都 会 在 该 策略 影响 范围 内 受到 限制 。 

下 面 说 明 如 何 利 用 哈 希 规则 来 禁止 stuOU 组 织 单位 中 所 有 用 户 执 行 QQ2009。 详 细 
步骤 如 下 : 

(1) 以 Administrator 账户 登录 域 控制 器 ,参考 9. 12. 2 小 节 的 步骤 ,打开 如 图 9-115 所 
示 窗 口 。 选 择 【 用 户 配 置 M【Windows 设置 MA【 安 全 设置 MI 软件 限制 策略 3 选项 ,在 其 上 布 
击 , 在 弹出 的 快捷 菜单 中 选择 [创建 软件 限制 策略 3 命令 (图 9-120)。 


"mm 钥 策略 编辑 器 lolxl 
文件 四 操作 必 ) 查看 WD 帮助 人 D 
中小 | 舌 | 四 |@ 田 


企 设 有 定义 软件 限制 策略 


设 有 在 该 姐 策略 对 象 定义 软件 限制 策略 。 加 果 效 在 该 组 策略 对 和 象 定义 软件 限 
制 策略 ， 它 们 会 苦 代 从 姐 策略 对 象 继承 的 策略 设置 。 


要 定义 软件 限制 策略 ， 在 “操作 ”菜单 上 ， 单 击 “ 创 建 软件 限制 策略 ”。 


图 9-120 选择 【创建 软件 限制 策略 了 命令 
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(2) 在 右 侧 详细 信息 列表 窗 格 ( 或 左 侧 窗口 目录 树 中 ) 的 【其 他 规则 】 选 项 上 右 击 ， 
在 弹出 的 快捷 菜单 中 选择 [新 建 哈 希 规则 3 命令 (图 9-121) ,打开 【新 建 哈 希 规则 对 话 
框 (图 9-122)。 


EEETTT TE 三 
文件 到) ”操作 从) 查看 YW 玫 助 人 0 
所 外 | 甸 | 加 | 呜 | 日 区 | 久 国 


田 -图 文件 夹 重 定向 
由 - 伍 Internet Explorer ; 
加 管理 模板 


图 9-121 选择 [新 建 哈 希 规则 命令 


(3) 单 击 [浏览 ] 按 钮 ,找到 QQ2009 的 执行 文件 QQ. exe 并 选择 , 单 击 【 打 开 】 按 钮 确 
定 。 然 后 系统 进行 喻 希 值 的 运算 ,运算 完成 后 ,返回 [新建 哈 希 规则 】 对 话 框 ,可 以 看 到 运算 
后 的 文件 的 哈 希 值 及 文件 信息 (图 9-123) 。 


到 本 到 
| ma | 
用 规则 和 代办 安全 细 别 。 用 规则 莹 代 默认 安全 纯 别 。 
mt nh 

文件 哈 希 下) 文件 哈 希 全) 
f 浏览 @) | B3923ba19a9ee0ae383e311218e7£176 144712:3277 LE 
文件 信息 @): 文件 信息 @)- 

于 (1.31. 1025.0) 一 

司 encent | 


安全 级 别 信 [不 允许 的 广 


取消 所 | 
图 9-122 【新 建 哈 希 规则 】 对 话 框 图 9-123 运算 后 的 文件 的 哈 希 值 及 文件 信息 


(4) 确认 图 中 [安全 级 别 ] 选 项 值 为 [不 允许 的 后 . 单 击 【 确 定 ] 按 钮 。 
(5) 返回 【组 策略 编辑 器 窗口 ,双击 打开 右 侧 详 细 信 息 列表 窗 格 中 的 【其 他 规则 】 选 项 ， 
可 以 看 到 QQ2009 被 限制 的 显示 (图 9-124) 。 
Ey 
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文件 中 操作 查看 WW 帮助 0 
卸 儿 | 因 | 四 |X 略 日 区 | 包 团 


号 限制 软件 执行 [2003E-DC02. tes 上 敬称 
> 


WHEEY_LOCAL, MACHINE\SOFTWARE\Ni erosoft\Wi 

的 wikEY_LDCAL MACHINE\SOFTWARE\Ni crosoft\Wi 

日 鲜 Yindows 设置 HKEY._LOCAL, MACHINE\SOFTWARE\Ni cr osoft\Wi 
渴 远程 安装 服务 WHEEY_LOCAL, MACHINE\SOF TARE \Ni crosoftNi 


其 地 规则 
图 文件 夹 重 定向 
田 负 Internet Explorer ; 
各 管理 模板 


图 9-124 【组 策略 编辑 器 窗口 中 的 【其 他 规则 】 选 项 


(6) 运行 gpupdate 命令 ,刷新 组 策略 。 
(7) 在 客户 端 注销 stu002 账户 ,并 以 该 账户 重新 登录 ,将 QQ. exe 文件 改名 为 
QQ2009. exe 后 ,尝试 执行 ,结果 弹出 【限制 ] 对 话 框 (图 9-119) ,提示 操作 被 限制 。 


苞 注 意 ; 如 果 将 9. 12. 1 小 节 的 方法 停 用 ,再 验证 9. 12. 2 小 节 的 方法 , 则 弹出 的 警 
告 画 面 将 如 图 9-125 所 示 。 


C:\Program Files\Tencent\QQ\Bin\QQ. exe 


@ C:\Program Files\Tencent\QQ\Bin\Qd, exe 


人 无 法 打开 此 程序 。 要 获 职 更 多 信息 ,请 


9-125 ”警告 对 话 框 


9zl3' : 悦 题 


. 简 述 NTFS 权限 规则 。 
. NTFS 权限 设置 包括 哪些 内 容 ? 
. 举例 说 明 AGDLP 规则 的 应 用 。 
. 简 述 本 地 安全 策略 的 内 容 。 
. 简 述 域 控制 器 安全 策略 与 本 地 安全 策略 的 区 别 。 
6. 简 述 本 地 安全 策略 , 域 控制 器 安全 策略 与 域 安全 策略 三 者 之 间 的 关系 ,并 举例 说 明 
它们 的 应 用 。 
7. 简 述 组 策略 的 作用 及 其 应 用 规则 。 
8. 如 何 利用 组 策略 实现 限制 软件 的 执行 ? 


SC 


-et 
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本 章 学 习 目 标 : 

。 风险 评估 的 国际 标准 。 

。 各 种 风险 评估 分 析 方 法 的 适用 场合 。 
。 风险 评估 的 具体 实施 步骤 。 


在 当今 信息 时 代 , 基 于 网 络 的 威胁 潜伏 在 每 一 个 角落 。 对 一 个 黑客 而 言 , 问 入 一 个 计算 
机 系统 从 来 就 不 是 绝对 不 可 能 的 ,只 是 困难 程度 不 同 而 已 。 病 毒 . 恶 意 代码 .木马 .人 为 破 
坏 .自然 物理 故障 等 给 信息 系统 带 来 了 巨大 的 威胁 ,为 了 防止 和 降低 这 些 安全 风险 ,业界 投 
入 了 大 量 的 人 力 ,物力 寻求 解决 方法 。 前 面 介绍 的 防火 墙 技术 、 防 病毒 技术 、 入 侵 检 测 系统 、 
漏洞 扫描 技术 、 加 密 、 安 全 认证 等 技术 推陈出新 ,但 是 却 没 有 从 根本 上 解决 信息 系统 的 安全 
局 限 。 

安全 是 一 个 动态 的 过 程 , 不 能 通过 一 次 技术 的 组 合 就 解决 全 部 安全 问题 。 安 全 风险 评 
估 通 过 合理 的 分 析 方 法 ,检测 信息 系统 存在 的 安全 隐患 ,并 制定 有 效 的 安全 措施 ,以 防止 对 
系统 安全 构成 威胁 的 事件 发 生 。 信 息 安 全 风险 评估 是 一 个 不 断 降低 安全 风险 的 过 程 ,其 最 
终 目 的 是 使 安全 风险 降低 到 一 个 可 接受 的 程度 ,使 用 户 和 决策 者 可 以 接受 剩余 的 风险 。 


10.1 风险 评估 概述 
10.1.1 概述 


风险 (Risk) 指 在 某 一 特定 环境 下 ,在 某 一 特定 时 间 段 内 ,特定 的 威胁 利用 资产 的 一 种 或 
一 组 薄弱 点 ,导致 资产 的 丢失 或 损害 的 潜在 可 能 性 。 网 络 安全 的 缺陷 及 用 户 对 安全 策略 的 
遵守 不 利 经 常会 导致 基于 Internet 的 攻击 者 更 方便 地 对 网 络 进行 定位 并 危及 其 安全 。 

风险 评估 (Risk Assessment) 指 组 织 使 用 适当 的 风险 评估 工具 ,对 信息 和 信息 处 理 设施 
的 威胁 (Threat) .影响 (Impact) 和 脆弱 性 (Frangibility) 及 其 发 生 的 可 能 性 的 评估 ,也 就 是 确 
认 安 全 风险 及 其 大 小 的 过 程 。 风 险 评估 是 任何 一 个 试图 正确 管理 系统 安全 的 组 织 所 应 该 进 
行 的 第 一 个 步骤 , 它 为 安全 管理 的 后 续 工 作 提供 方向 和 依据 ,后 续 工 作 的 优先 等 级 和 关注 程 
度 都 是 由 信息 安全 风险 决定 的 。 

风险 评估 的 目的 ,就 是 使 信息 系统 的 使 用 者 对 于 其 管理 的 信息 系统 有 一 个 全 面 的 认识 ， 
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对 于 其 中 的 安全 问题 .安全 建设 思路 有 深刻 的 认识 。 通 过 风险 评估 ,暴露 信息 系统 面临 的 各 
种 威胁 ,通过 评估 这 些 威胁 出 现 的 概率 ,确定 它们 可 能 给 系统 带 来 的 损失 。 通 过 风险 评估 可 
以 帮助 我 们 制定 有 效 的 安全 解决 方案 ,提高 系统 的 安全 状况 。 


10.1.2 风险 评估 的 风险 模型 
目前 国内 主流 的 信息 安全 厂商 例如 中 联 绿 盟 信 息 技术 (北京 ) 有 限 公 司 、 启 明星 尾 信 息 


技术 有 限 公司 、 联 想 \、 华 为 、 安 络 科技 等 ,都 几乎 一 致 地 采用 了 类 似 的 概念 和 风险 评估 的 模 
型 。 其 基本 原理 图 如 图 10-1 所 示 。 


图 10-1 风险 评估 原理 图 


其 基本 思想 参照 ISO 13335 ,该 规范 给 实施 信息 安全 管理 者 提出 建议 和 指导 。 用 户 可 
以 参照 这 个 标准 制定 出 自己 的 安全 管理 计划 和 实施 方案 。 它 对 安全 定义 了 6 个 特性 : 机 密 
性 、` 完 整 性 .可 用 人 性、 负责 性 、 确 实 性 和 可 靠 性 ,使 得 风险 评估 考虑 的 问题 更 加 完善 。ISO 
13335 的 风险 评估 所 考虑 的 主要 因素 同样 包括 : 资产 、 威 胁 、 脆 弱 性 .影响 风险、 安全 措施 
和 残余 风险 。 


10.2 风险 评估 的 国际 标准 
10.2.1 可 信 计 算 机 系统 评估 准则 (TCSEC) 


TCSEC(Trusted Computer System Evaluation Criteria) 标 准 是 计算 机 系统 安全 评估 的 
第 一 个 正式 标准 ,具有 划时代 的 意义 。 该 准则 于 1970 年 由 美国 国防 科学 委员 会 提出 ,并 于 
1985 年 12 月 由 美国 国防 部 公布 。TCSEC 最 初 只 是 军用 标准 ,后 来 延至 民用 领域 。 
TCSEC 将 计算 机 系统 的 安全 划分 为 4 大 类 、8 个 级 别 。 
。D 类 (无 保护 级 )。D 类 安全 等 级 只 包括 D1 一 个 级 别 。D1 的 安全 等 级 最 低 。D1 系 
统 只 为 文件 和 用 户 提 供 安 全 保护 。D1 系统 最 普通 的 形式 是 本 地 操作 系统 ,或 者 是 
一 个 完全 没有 保护 的 网 络 。 
。C 类 (自主 保护 等 级 )。 该 类 安全 等 级 能 够 提供 审慎 的 保护 ,并 为 用 户 的 行动 和 责任 
提供 审计 能 力 。C 类 安全 等 级 从 低 到 高 可 划分 为 Cl 和 C2 两 类 。 
B 类 (强制 保护 等 级 )。 该 类 系统 具有 强制 性 保护 功能 ,保护 意味 着 如 果 用 户 没 有 与 
安全 等 级 相连 ,系统 就 不 会 让 用 户 存 取 对 象 。B 类 系统 中 的 主要 数据 结构 必须 携带 
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敏感 标记 :系统 的 开发 者 还 应 为 TCB 提供 安全 策略 模型 以 及 TCB 规约 ;应 提供 证 
据 证 明 访问 监控 器 得 到 了 正确 的 实施 。B 类 安全 等 级 从 低 到 高 可 分 为 B1、B2 和 B3 
三 级 。 

A 类 (验证 保护 等 级 )。A 类 的 安全 级 别 最 高 。A 类 系统 的 特点 是 使 用 形式 化 的 安 
全 验证 方法 ,保证 系统 的 自主 和 强制 安全 控制 措施 能 够 有 效 地 保护 系统 中 存储 和 处 
理 的 秘密 信息 或 其 他 敏感 信息 。 系 统 提供 丰富 的 文档 信息 用 以 证 明 TCB 满足 设 
计 、 开 发 及 实现 等 各 个 方面 的 安全 要 求 。 该 类 安全 等 级 从 低 到 高 分 为 Al 级 和 超 
Al 级 。 


10.2.2 信息 技术 安全 评估 标准 (ITSEC) 


ITSEC(Information Technology Security Evaluation Criteria) 是 欧洲 多 国安 全 评价 方 
法 的 综合 产物 ,应 用 领域 为 军队 、 政 府 和 商业 。 该 标准 将 安全 概念 分 为 功能 与 评估 两 部 分 。 
功能 准则 从 F1 一 F10 共 分 10 级 , F1 一 F5 级 对 应 于 TCSEC 的 D 到 A,F6 一 F10 级 分 别 对 
应 数据 和 程序 的 完整 性 .系统 的 可 用 人性、 数据 通信 的 完整 性 .数据 通信 的 保密 性 以 及 机 密 性 
和 完整 性 的 网 络 安全 。 

与 TCSEC 不 同 ,ITSEC 并 不 把 保密 措施 直接 与 计算 机 功能 相 联系 , 而 是 只 叙述 技术 安 
全 的 要 求 , 把 保密 作为 安全 增强 功能 。 另 外 ,TCSEC 把 保密 作为 安全 的 重点 ,而 ITSEC 则 
把 完整 性 .可 用 性 与 保密 性 作为 同等 重要 的 因素 。ITSEC 定义 了 从 E0 级 (不 满足 品质 ?到 
E6 级 (形式 化 验证 ) 的 7 个 安全 等 级 。 对 于 每 个 系统 ,安全 功能 可 分 别 定义 。 


10.2.3 信息 技术 安全 通用 评估 准则 (ISO IEC 15408) 


为 了 能 集中 世界 各 国安 全 评估 准则 的 优点 ,集合 成 能 被 广泛 接受 的 信息 技术 评估 准则 ， 
1993 年 6 月 ,在 英美 加法、 德 . 荷 六 国 的 合作 下 ,形成 了 《信息 技术 安全 通用 评估 准则 》， 
简称 : CC(Common Criteria) 。CC 的 2. 0 版 本 于 1999 年 12 月 被 ISO 批准 为 国际 标准 , 编 
号 ISO IEC 15408。 我 国 于 2001 年 将 CC 作为 国家 标准 ,以 编号 GB/T 18336 发 布 。 

CC 吸收 了 各 先进 国家 对 现代 信息 系统 安全 的 经 验 和 知识 ,对 信息 安全 的 研究 与 应 用 
产生 了 深刻 的 影响 。 它 分 为 三 部 分 ,第 一 部 分 介绍 CC 的 基本 概念 和 基本 原理 ,第 二 部 分 提 
出 安全 功能 要 求 ,第 三 部 分 提出 安全 保证 要 求 。 

CC 通过 对 安全 保证 的 评估 而 划分 安全 等 级 ,每 一 等 级 对 保证 功能 的 要 求 各 不 相同 。 
安全 等 级 增强 对 保证 组 件 的 数目 或 强度 的 要 求 也 会 增加 。CC 安全 等 级 简称 EAL( 评 估 保 
证 级 ) , 共 分 7 级 ,安全 等 级 由 EAL]1 到 EAL7 逐渐 提高 。 


10.2.4 系统 安全 工程 能 力 成 熟 度 模 型 (SSE-CMM) 
国际 上 通常 采用 能 力 成 熟 度 模型 (Capability Maturity Model, CMM) 来 评估 一 个 组 织 


的 工程 能 力 。CMM 模型 认为 ,能 力 成 熟 度 高 的 企业 持续 生产 高 质量 产品 的 可 能 性 很 大 ,而 
工程 风险 则 很 小 。 系 统 安全 工程 能 力 成 熟 度 模型 (Systems Security Engineering Capability 
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Maturity Model,SSE-CMM) 是 CMM 在 系统 安全 工程 这 个 具体 领域 应 用 而 产生 的 一 个 分 
支 ,是 美国 国家 安全 局 领导 开发 的 ,其 最 关注 的 是 安全 工程 过 程 域 ,是 以 动态 的 观点 来 管理 、 
控制 系统 中 动态 的 风险 ,影响 和 脆弱 性 。 

在 SSE-CMM 模型 中 ,将 各 种 系统 安全 工程 任务 抽象 .划分 为 11 个 有 明显 特征 的 子 任 
务 ( 即 过 程 域 PA)。 这 11 个 过 程 域 又 可 划分 为 风险 过 程 . 工 程 过 程 和 保证 过 程 3 类 ,这 3 类 
过 程 也 被 称 作 SSE-CMM 的 三 大 安全 焦点 。 

在 SSE-CMM 的 三 大 安全 焦点 中 ,风险 过 程 的 位 置 比较 特殊 。 就 其 作用 而 言 ,风险 过 
程 为 工程 过 程 提供 了 基本 的 安全 需求 信息 ,同时 也 为 安全 工程 的 结果 提供 了 有 效 的 评估 手 
段 。 根 据 模型 ,那些 足以 成 为 风险 的 事件 由 三 个 组 成 部 分 : 威胁 .系统 脆弱 性 和 事件 造成 的 
影响 。 一 般 而 言 , 这 三 种 因素 必须 全 都 存在 才 足 以 造成 风险 (风险 值 大 于 零 ) 。 模 型 中 定义 
了 四 个 风险 过 程 域 : PA02 评估 影响 .PA03 评估 安全 风险 .PA04 评估 威胁 和 PA05 评估 脆 
弱 性 。 具 体 关 系 如 图 10-2 所 示 。 


评估 威胁 (PA04 ) | >| ”威胁 信息 


评估 脆弱 性 (PA05 ) 脆弱 性 信息 评估 风险 (PA03 ) 风险 信息 


评估 影响 (PA02) 一 >| 影响 信息 


图 10-2 SSE-CMM 风险 评估 模型 


首先 ,通过 PA02、PA04、PA05 这 三 个 过 程 的 具体 实践 分 别 得 到 系统 的 影响 信息 、 威 胁 
信息 和 脆弱 性 信息 ,然后 利用 PA03 评估 风险 过 程 获得 系统 的 风险 信息 。 

目前 ,SSE-CMM 已 经 成 为 西方 发 达 国家 政府 .军队 和 要 害 部 门 组 织 和 实施 安全 工程 的 
通用 方法 ,是 系统 安全 工程 领域 里 成 熟 的 方法 体系 。 我 国 国家 及 军队 信息 安全 测评 认证 中 
心 已 准备 将 SSE-CMM 作为 安全 产品 和 信息 系统 安全 性 检测 和 认证 的 标准 之 一 。 

SSE-CMM 模型 的 能 力 等 级 由 低 到 高 分 为 五 个 级 别 。 


10.3 风险 评估 分 析 方 法 
在 风险 评估 和 风险 管理 方法 被 应 用 的 过 程 中 ,评估 时 间 ,力度 以 及 具体 开展 的 深度 应 与 
组 织 的 环境 和 安全 要 求 相称 。 按 照 风 险 评估 的 深度 ,风险 评估 方法 可 分 为 以 下 三 类 : 基本 
的 风险 评估 方法 .详细 的 风险 评估 方法 和 联合 的 风险 评估 方法 。 
10.3.1 基本 的 风险 评估 方法 


基本 的 风险 评估 是 指 应 用 直接 和 简易 的 方法 达到 基本 的 安全 要 求 。 这 种 方法 适用 于 业 
务 运作 不 是 非常 复杂 的 组 织 ,并 且 组 织 对 信息 处 理 和 网 络 的 依赖 程度 不 高 的 情况 。 


基本 风险 评估 活动 涉及 的 具体 内 容 如 下 : 


，。 资产 识别 和 估价 。 列 出 与 信息 安全 管理 体系 范围 内 被 评估 的 业务 环境 .运作 和 信息 
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相关 的 资产 。 
威胁 评估 。 使 用 通用 或 常见 的 威胁 列表 , 列 出 资产 的 威胁 。 
脆弱 性 评估 。 应 用 通用 或 常见 的 脆弱 性 列表 , 列 出 资产 的 脆弱 性 。 
现 有 的 和 计划 的 安全 控制 的 识别 。 根 据 前 期 的 安全 评审 ,对 所 有 与 资产 相关 联 的 现 
有 的 和 计划 的 控制 进行 识别 和 文件 化 。 
风险 评估 。 收 集 由 上 述评 估 产 生 的 有 关 资 产 .威胁 和 脆弱 性 的 信息 ,进行 一 个 系统 
的 、 简 单 的 风险 测量 。 
安全 控制 和 降低 风险 的 识别 和 选择 。 对 于 列 出 的 每 一 项 资产 ,确认 与 之 相关 的 控制 
目标 ,选择 适合 的 控制 方法 ,完成 各 项 安全 控制 任务 。 然 后 ,评估 被 选择 的 安全 控制 
多 大 程度 上 降低 了 被 识别 的 风险 。 

。 风险 接受 。 有 可 能 需要 采取 进一步 的 控制 措施 来 降低 剩余 风险 。 

基本 风险 评估 简单 易 行 ,有 较 高 的 经 济 效益 。 但 是 ,其 安全 程度 的 设置 较 难 把 握 , 如 果 
信息 安全 管理 体系 升级 ,那么 使 用 该 方法 将 很 难 评估 最 初 的 控制 是 否 仍然 安全 。 


10.3.2 详细 的 风险 评估 方法 


详细 的 风险 评估 包括 资产 的 详细 识别 和 估价 ,是 非常 耗费 财力 的 完整 的 过 程 , 因 此 需要 
非常 仔细 地 确定 被 评估 的 信息 系统 的 业务 环境 .运作 、 信 息 及 资产 的 边界 。 它 需要 管理 者 持 
续 关 注 。 

详细 风险 评估 活动 涉及 的 具体 内 容 如 下 : 
资产 识别 和 估价 。 识 别 和 列 出 信息 安全 管理 范围 内 被 评估 的 业务 环境 .运作 和 信息 
相关 的 所 有 资产 ,定义 一 个 价值 尺度 并 为 每 一 项 资产 分 配 价值 (保密 性 、 完 整 性 和 可 
用 性 的 价值 ) 。 
威胁 评估 。 识 别 与 资产 相关 的 所 有 威胁 ,并 根据 它们 发 生 的 可 能 性 和 严重 性 为 它们 
赋值 。 
脆弱 性 评估 。 识 别 与 资产 相关 的 所 有 脆弱 性 ,并 根据 它们 被 威胁 利用 的 难 易 程度 来 
为 它们 赋值 。 
现 有 的 和 计划 的 安全 控制 的 识别 。 根 据 前 期 评审 ,将 所 有 现 有 的 和 计划 的 与 资产 相 
关 的 安全 控制 进行 识别 和 文件 化 。 
风险 评估 。 利 用 上 述 对 资产 .威胁 ,脆弱 性 的 评价 结果 ,进行 风险 计算 ,风险 为 资产 
的 相对 价值 .威胁 发 生 的 可 能 性 与 薄弱 点 被 利用 的 可 能 性 的 函数 ,采用 适当 的 风险 
测量 工具 进行 风险 计算 。 
安全 控制 和 降低 风险 的 识别 和 选择 。 根 据 从 上 述评 估 中 识别 的 风险 ,采取 适当 的 安 
全 控制 方法 ,以 阻止 这 些 风险 。 然 后 ,评估 被 选择 的 安全 控制 多 大 程度 上 降低 了 被 
识别 的 风险 。 
风险 接受 。 对 残余 的 风险 加 以 分 类 ,或 是 “可 接受 的 ?或 是 “不 可 接受 的 ”。 对 那些 被 
确认 是 “不 可 接受 的 ”决定 选择 更 进一步 的 控制 还 是 改变 可 接受 风险 的 程度 。 

详细 风险 评估 能 获得 一 个 更 准确 的 安全 风险 认识 ,能 更 确切 地 反映 组 织 对 安全 程度 的 
要 求 。 但 是 , 它 需 要 花费 大 量 的 时 间 、 精 力 和 技术 ,有 可 能 提出 的 安全 措施 已 滞后 于 时 间 
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要 求 。 
10.3.3 联合 的 风险 评估 方法 


合 评估 方法 首先 鉴定 出 一 个 信息 系统 中 的 高 风险 、 关 键 , 敏 感 部 分 ,对 其 进行 详细 的 
风险 评估 分 析 , 然 后 对 其 他 的 部 分 采取 基本 的 风险 评估 分 析 。 

合 评估 方法 综合 了 基本 风险 评估 和 详细 风险 评估 方法 的 优点 ,在 合理 花费 时 间 和 精 
力 的 前 提 下 ,获得 一 个 全 面 的 系统 评估 结果 ,使 宝贵 的 资源 和 资金 能 够 用 在 最 需要 的 地 方 。 
但 是 ,如 果 对 信息 系统 风险 程度 的 高 低 判别 不 正确 ,可 能 导致 错误 的 结果 。 比 如 ,一 个 需要 
使 用 详细 风险 评估 方法 的 系统 ,采用 了 基本 的 风险 评估 方法 ,造成 不 能 精确 地 识别 系统 的 风 
险 , 从 而 不 能 为 系统 制定 最 有 效 的 安全 措施 。 


10.4 风险 评估 的 步骤 


为 了 确定 未 来 的 不 利 事件 发 生 的 可 能 性 ,必须 对 信息 系统 面临 的 威胁 .可 能 的 脆弱 性 以 
及 信息 系统 中 部 署 的 安全 控制 一 起 进行 分 析 。 风 险 评估 方法 包括 以 下 七 个 步 又: 风险 评估 
准备 .资产 识别 .威胁 识别 .脆弱 性 识别 .已 有 安全 措施 确认 .风险 控制 方案 提出 和 评估 报告 
形成 ,如 图 10-3 所 示 。 


图 10-3 风险 评估 步骤 


10.4.1 风险 评估 准备 


风险 评估 的 准备 是 实施 风险 评估 的 前 提 , 只 有 有 效 地 进行 了 信息 安全 风险 评估 准备 , 通 
过 确定 目标 、 进 行 调研 、 获 得 组 织 高 层 管理 者 对 评估 的 支持 等 ,才能 更 好 地 开展 信息 安全 风 
险 评估 。 

风险 评估 的 准备 活动 包括 : 

。 确定 风险 评估 的 目标 ; 

。 确定 风险 评估 的 范围 ; 

。 组 建 评估 管理 团队 和 评估 实施 团队 ; 

。 进行 系统 调研 ; 

。 确定 评估 依据 和 方法 ; 

。 获得 最 高 管理 者 对 风险 评估 工作 的 支持 。 
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1. 风险 评估 目标 的 确定 


信息 安全 需求 是 一 个 组 织 为 保证 其 业务 正常 \ 有 效 运转 而 必须 达到 的 信息 安全 要 求 , 通 
过 分 析 组 织 必须 符合 的 相关 法 律 法 规 , 组 织 在 业务 流程 中 对 信息 安全 等 的 机 密 性 、 可 用 性 、 
完整 性 等 方面 的 需求 ,来 确定 风险 评估 的 目标 。 


2. 风险 评估 范围 的 确定 


风险 评估 的 范围 包括 组 织 内 部 与 信息 处 理 相关 的 各 类 软 硬 件 资产 ,相关 的 管理 机 构 和 
人 员 、 所 处 理 的 信息 等 各 方面 。 实 施 一 次 风险 评估 的 范围 可 大 可 小 ,需要 根据 具体 评估 需求 
确定 ,可 以 对 组 织 全 部 的 信息 系统 进行 评估 ,也 可 以 仅 对 关键 业务 流程 进行 评估 ,也 可 以 对 
组 织 的 关键 部 门 的 信息 系统 进行 评估 等 。 本 例 只 对 计算 机 系统 进行 评估 ,评估 范围 如 
表 10-1 所 示 。 


表 10-1 确定 评估 范围 单位 : 台 
资产 名 称 数 量 资产 名 称 数 量 
主 域 控制 器 1 Web 服务 器 2 
备份 域 控 制 器 1 DHCP 服务 器 1 
邮件 服务 器 2 DNS 服务 器 1 
FTP 服务 器 1 
3. 系统 调研 


在 确定 了 风险 评估 的 目标 .范围 .团队 后 ,要 进行 系统 调研 ,并 根据 系统 调研 的 结果 决定 
评估 将 采取 的 评估 方法 等 技术 手段 。 系 统 调 研 内 容 包括 : 
。 组 织 业务 战略 ; 
。 管理 制度 ， 
。 组 织 主要 业务 功能 和 要 求 ; 
。 网 络 结构 、 网 络 环境 (包括 内 部 连接 和 外 部 连接 ); 
。 网络 系统 边界 ; 
。 主要 的 硬件 软件 ; 
。 数 据 和 信息 ; 
。 系统 和 数据 的 敏感 性 ; 
系统 使 用 人 员 ; 
。 其 他 。 
系统 调研 可 以 采取 问卷 调查 、 现 场 访谈 等 方法 进行 。 


4. 风险 评估 方法 确定 


以 系统 调研 结果 为 依据 ,根据 被 评估 信息 系统 的 具体 情况 ,确定 风险 评估 依据 和 方法 。 
评估 依据 包括 (但 不 限于 ) 现 有 国际 或 国家 有 关 信 息 安 全 标准 、 组 织 的 行业 主管 机 关 的 
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业务 系统 的 要 求 和 制度 ,组 织 的 信息 系统 互联 单位 的 安全 要 求 ,组 织 的 信息 系统 本 身 的 实时 

根据 评估 依据 ,并 综合 考虑 评估 的 目的 .范围 .时间 效果、 评估 人 员 素 质 等 因素 ,选择 具 
体 的 风险 方法 ,并 依据 组 织 业 务实 施 对 系统 安全 运行 的 需求 ,确定 相关 的 评估 判断 依据 ,使 
之 能 够 与 组 织 环境 和 安全 要 求 相 适 应 。 


10.4.2 资产 识别 


1. 资产 定义 


资产 是 企业 .机构 直 接 赋予 了 价值 因而 需要 保护 的 东西 。 它 可 能 是 以 多 种 形式 存在 , 包 
括 无 形 的 有形 的 硬件、 软件 ,文档 .代码 ,还 包括 服务 .企业 形象 等 。 

资产 具有 很 强 的 时 间 特 性 , 它 的 价值 和 安全 属性 都 会 随 着 时 间 的 推移 发 生变 化 ,所 以 应 
该 根据 时 间 变 化 的 频 度 制定 资产 相关 的 评估 和 安全 策略 的 频 度 。 


2. 资产 的 识别 和 估价 


为 了 明确 被 保护 的 信息 资产 ,组 织 应 列 出 与 信息 安全 有 关 的 资产 清单 ,对 每 一 项 资产 进 
行 确 认 和 适当 的 评估 。 

在 列 出 所 有 信息 资产 后 ,应 对 每 项 资产 赋予 价值 。 对 资产 进行 估价 时 ,不仅 要 考虑 资产 
的 账面 价格 ,更 重要 的 是 考虑 资产 对 于 组 织 的 商务 的 重要 性 , 即 根据 资产 损失 所 引发 的 潜在 
的 商务 影响 来 决定 。 一 些 信息 资产 是 有 时 效 性 的 ,例如 ,新 产品 数据 在 产品 面市 之 前 是 高 度 
机 密 的 。 采 用 精确 的 财务 方式 来 给 资产 确定 价值 有 时 候 很 难 , 一 般 采 用 定性 的 方式 来 建立 
资产 的 价值 或 重要 程度 , 即 按照 事先 确定 的 价值 尺度 将 资产 的 价值 划分 为 不 同等 级 。 

经 过 资产 识别 与 估价 后 ,组 织 应 根据 资产 价值 的 大 小 进一步 确定 需要 保护 的 关键 资产 ， 
如 表 10-2 所 示 。 


表 10-2 确定 需要 保护 的 关键 资产 单位 : 元 
资产 名 称 物理 价值 软件 名 称 破坏 影响 资产 价值 
主 域 控 制 器 18 000 Windows 全 部 业务 停止 35 000 
备份 域 控 制 器 18 000 Windows 全 部 业务 停止 35 000 
邮件 服务 器 A 22 000 Exchange 全 部 业务 停止 42 000 
邮件 服务 器 B 22 000 Exchange 全 部 业务 停止 42 000 
FTP 服务 器 10 000 JIS 大 部 分 业务 停止 20 000 
Web 服务 器 A 12 000 IIS 大 部 分 业务 停止 18 000 
Web 服务 器 B 12 000 JIS 大 部 分 业务 停止 18 000 
DHCP 服务 器 10 000 Windows 大 部 分 业务 停止 20 000 
DNS 服务 器 10 000 Windows 大 部 分 业务 停止 20 000 
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10.4.3 威胁 识别 


1. 威胁 定义 


安全 威胁 是 对 机 构 及 其 资产 构成 潜在 破坏 的 可 能 性 因素 或 者 事件 。 无 论 对 于 多 么 安全 
的 信息 系统 ,安全 威胁 是 一 个 客观 存在 的 事物 , 它 是 风险 评估 的 重要 因素 之 一 。 


2. 威胁 的 识别 与 评估 


对 组 织 需要 保护 的 每 一 项 关键 资产 进行 威胁 识别 时 ,应 根据 资产 所 处 的 环境 条 件 和 资 
产 以 前 遭受 威胁 损害 的 情况 来 判断 ,一 项 资产 可 能 面临 着 多 个 威胁 。 同 样 ,一 个 威胁 可 能 对 
不 同 的 资产 造成 影响 。 威 胁 识别 应 确认 威胁 由 谁 或 什么 事物 引发 以 及 威胁 影响 的 资产 。 用 
于 威胁 评估 的 信息 可 以 从 信息 安全 管理 的 有 关 人 员 ,以 及 相关 的 商业 过 程 中 获得 ,这 些 人 可 
能 是 人 事 部 的 职员 ,设备 策划 和 IT 专家 ,也 包括 组 织 内 部 负责 安全 的 人 员 。 

确定 威胁 发 生 的 可 能 性 是 风险 评估 的 重要 环节 ,组 织 应 根据 经 验 和 有 关 的 统计 数据 来 
判断 威胁 发 生 的 频率 或 者 发 生 的 概率 。 根 据 威胁 发 生 的 可 能 性 给 予 假设 值 ,如 表 10-3 
所 示 。 


表 10-3 ”确定 威胁 发 生 的 可 能 性 单位 : % 
威 ” 胁 发 生 可 能 性 威 ” 胁 发 生 可 能 性 
断 电 个 网 络 故 障 55 
病毒 70 雷电 10 
硬件 故障 65 地 震 0.01 
内 部 攻击 10 水 灾 0.01 
外 部 攻击 50 火灾 1 


10.4.4 脆弱 性 识别 


1. 脆弱 性 定义 


脆弱 性 是 资产 本 身 存 在 的 , 它 可 以 被 威胁 利用 ,引起 资产 或 商业 目标 的 损害 。 脆 弱 性 包 
括 物理 环境 、 机 构 、 过 程 、 人 员 .管理 .配置 硬件、 软件 和 信息 等 各 种 资产 的 脆弱 性 。 


2. 脆弱 性 识别 与 评估 


脆弱 性 识别 是 风险 评估 中 最 重要 的 一 个 环节 。 脆 弱 性 识别 可 以 以 资产 为 核心 ,针对 每 
一 项 需要 保护 的 资产 ,识别 可 能 被 威胁 利用 的 弱点 ,并 对 脆弱 性 的 严重 程度 进行 评估 ;也 可 
以 从 物理 、 网 络 ,系统 .应 用 等 层次 进行 识别 ,然后 与 资产 ,威胁 对 应 起 来 。 表 10-4 提供 了 一 


种 脆弱 性 识别 内 容 的 参考 。 
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表 10-4 脆弱 性 识别 内 容 表 


类 型 识别 对 象 识别 内 容 
从 机 房 场地 、 机 房 防火 、 机 房 供 配 电 、 机 房 防 静电 .机 房 接 地 与 防 雷 、 
物理 环境 电磁 防护 、 通 信 线 路 的 保护 .机房 区 域 防护 、 机 房 设备 管理 等 方面 进 
行 识别 
网 络 结构 从 网 络 结构 设计 、 边 界 保护 、 外 部 访问 控制 策略 、 内 部 访问 控制 策略 、 
技 oe 网 络 设备 安全 配置 等 方面 进行 识别 
术 系统 软件 ( 含 操作 系 | 从 补丁 安装 .物理 保护 .用户 账 号 .口令 策略 .资源 共享 .事件 审计 、 访 
各 统 及 系统 服务 ) 问 控制 .新 系统 配置 (初始 化 ) .注册 表 加 固 等 方面 进行 识别 
性 pee 从 补丁 安装 、 鉴 别 机 制 .口令 机 制 ,访问 控制 .网 络 和 服务 设置 .备份 
恢复 机 制 . 审 计 机 制 等 方面 进行 识别 
应 用 中 间 件 从 协议 安全 、 交 易 完整 性 .数据 完整 性 等 方面 进行 识别 
启用 系统 从 审计 机 制 、 审 计 存储 、 访 问 控制 策略 、 数 据 完整 性 .通信 、 鉴 别 机 制 、 
密码 保护 等 方面 进行 识别 
管 。 | 技术 管理 从 物理 和 环境 安全 、 通 信 与 操作 管理 .访问 控制 .系统 开发 与 维护 、 业 
务 连续 性 等 方面 进行 识别 
弱 从 安全 策略 .组织 安全 资产 分 类 与 控制 .人 员 安全 ,符合 性 等 方面 进 
性 | 组 织 管理 行 识别 


通常 而 言 , 脆 弱 性 评估 包括 漏洞 评估 手工 评估 .自动 评估 ,渗透 测试 等 方面 。 

”漏洞 评估 指 通过 扫描 器 对 操作 系统 、 网 络 设备 等 进行 评估 ; 

。 手工 评估 指 通过 人 工 手动 评价 已 知 的 安全 漏洞 ， 

。 自动 评估 指 通过 硬件 和 软件 设备 自动 定期 或 者 非 定期 对 网 络 ,系统 进行 评估 ; 

。 渗透 测试 指 在 系统 不 进行 任何 改变 的 情况 下 ,从 外 界 模拟 真实 攻击 的 方式 ,对 系统 
进行 评估 。 


10.4.5 已 有 安全 措施 确认 


安全 措施 可 以 分 为 预防 性 安全 措施 和 保护 性 安全 措施 两 种 。 预 防 性 安全 措施 可 以 降低 
威胁 利用 脆弱 性 导致 安全 事件 发 生 的 可 能 性 ,如 入 侵 检 测 系统 ;保护 性 安全 措施 可 以 减少 因 
安全 事件 发 生 后 对 组 织 或 系统 造成 的 影响 。 

在 识别 脆弱 性 的 同时 ,评估 人 员 应 对 已 采取 的 安全 措施 的 有 效 性 进行 检查 ,检查 安全 措 
施 是 否 有 效 发 挥 了 作用 , 即 是 否 真正 地 降低 了 系统 的 脆弱 性 ,抵御 了 威胁 。 对 于 已 经 有 效 地 
发 挥 了 其 作用 的 安全 措施 ,应 继续 保持 ,而 不 用 重复 建设 安全 措施 ;对 于 不 适当 的 安全 措施 ， 
应 对 其 进行 改进 ,或 采用 更 合适 的 安全 措施 替代 。 


10.4.6 风险 控制 方案 提出 
在 这 一 步 里 ,对 不 可 接受 的 风险 应 根据 导致 该 风险 的 脆弱 性 制定 一 个 风险 控制 方案 ,该 


方案 的 目标 是 减缓 或 消除 已 识别 的 风险 ,降低 系统 的 风险 级 别 ,使 其 达到 一 个 可 接受 的 水 
平 。 方 案 中 应 明确 指出 采取 的 弥补 措施 、 预 期 效果 、 实 施 条 件 、 进 度 安 排 、 责 任 部 门 等 。 安 全 
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措施 的 选择 应 从 管理 与 技术 两 个 方面 考虑 ,管理 措施 作为 技术 措施 的 补充 。 
在 提出 控制 方案 时 ,应 该 考虑 下 列 因素 : 


方案 的 有 效 性 (如 系统 的 兼容 性 ); 
。 法 律 法 规 ; 
。 机 构 策略 ; 


”运行 影响 ; 

”安全 性 和 可 靠 性 。 

风险 控制 方案 是 风险 评估 过 程 的 结果 ,在 此 后 的 风险 减缓 过 程 中 ,所 提出 的 流程 和 技术 
类 安全 控制 将 得 到 评估 并 实现 。 但 并 不 是 所 有 的 控制 项 目 都 能 实现 并 降低 损失 ,针对 具体 
的 系统 ,要 确定 哪些 控制 项 目 是 适合 的 ,要 作 实 施 成 本 分 析 , 使 得 这 些 控 制 项 目 实 施 在 成 本 
上 是 可 行 的 。 另 外 ,在 风险 减缓 过 程 中 ,对 实施 该 方案 所 带 来 的 运行 影响 (例如 对 系统 性 能 
的 影响 ) 和 可 行 性 (例如 技术 要 求 .用户 的 接受 程度 ) 等 方面 也 要 仔细 评估 。 


10.4.7 评估 报告 形成 


当 威 胁 源 和 系统 脆弱 性 被 识别 出 来 ,风险 得 到 评估 ,风险 控制 方案 也 提出 ,风险 评估 即 
全 部 结束 ,该 过 程 的 结果 将 被 记录 到 评估 报告 里 。 

风险 评估 报告 是 一 份 管理 报告 , 它 描述 了 系统 面临 的 威胁 和 脆弱 性 及 其 风险 度量 ,为 风 
险 控 制 的 实现 提供 了 依据 。 它 可 以 帮助 高 级 管理 人 员 对 策略 .流程 .预算 以 及 系统 的 运行 和 
管理 变更 等 做 出 决策 。 不 同 于 审计 或 调查 报告 (目的 是 为 了 检查 错误 ) ,风险 评估 报告 是 以 
一 种 系统 和 分 析 的 方法 来 评估 风险 ,这 样 高 级 管理 人 员 才 能 理解 风险 并 为 降低 和 修正 可 能 
出 现 的 损失 而 分 配 资源 。 


10:5 当 题 
1. 简 述 TCSEC 的 安全 级 别 。 
2. ITSEC 比 TCSEC 有 哪些 进步 ? 
3. 简 述 CC 的 安全 级 别 。 
4. 风险 评估 分 析 方 法 分 为 哪 几 类 ?各 有 什么 特点 ? 
5. 简 述 风险 评估 的 步骤 。 


1 站 站 门口 站 口 口 
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